Trojaner-Board - Umleitung der Suchergebnisse bei Google, Help!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Umleitung der Suchergebnisse bei Google, Help! (https://www.trojaner-board.de/25916-umleitung-suchergebnisse-google-help.html)

Umleitung der Suchergebnisse bei Google, Help!

Hallo Leutz!

Auch wenn ich jetzt nicht unbedingt ein Newbie bin was PC - Sicherheit angeht ist mir beim Durchforsten der Beiträge hier klargeworden dass es doch noch ne Menge Dinge gibt von denen ich keine Ahnung habe...
:)

Folgendes Problem stellt sich:
Seit einiger Zeit liefert mir die Suche nach verschiedenen Seiten bei Google zwar die korrekten Ergebnisse, wenn ich jedoch auf die Links klicke werde ich zu einer zufälligen (?) Werbeseite umgeleitet, so dass ich die Suchergebnisse mittels Copy/Paste in ein neues Browserfenster einbetten muß...Auf Dauer verdammt nervig..."Zufällig" deswegen weil ich bisher nie auf die gleichen Seiten geleitet wurde.
Der Fehler tritt nicht immer auf, bevorzugt jedoch bei Seiten mit hoher Zugriffsrate ( thomann, musik-produktiv, ebay...).

Leider hat der Scan mittels Ad-Aware bzw. a-squared keine Ergebnisse gebracht, ebenso die Durchstöberung einschlägiger Foren, deswegen poste ich mal hier nen Beitrag in der Hoffnung auf Hilfe

Hier das HJT - Logfile :

Logfile of HijackThis v1.99.1
Scan saved at 17:48:08, on 16.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133199306608
O17 - HKLM\System\CCS\Services\Tcpip\..\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}: NameServer = 85.255.116.90,85.255.112.207
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe

Servus!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

Zusätzlich mal diesen Eintrag mit HJT-Fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}: NameServer = 85.255.116.90,85.255.112.207

Das ist nämlich mit 100%iger Sicherheit nicht der DNS-Server deines Providers.

So, habe nach ausführlichem Studieren der Anleitung - und zwei Fehlversuchen ;-) - folgendes Logfile anzubieten :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 14:59:34 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken.
Tue Jan 17 14:59:42 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken.
Tue Jan 17 15:14:32 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0
Tue Jan 17 15:50:22 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken.
Tue Jan 17 15:50:31 2006 => System found infected with smitfraud variant Browser Hijacker (winsub.xml)! Action taken: No Action Taken.
Tue Jan 17 16:00:11 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 14:59:39 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Jan 17 14:59:39 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Tue Jan 17 14:59:42 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Tue Jan 17 14:59:56 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy
Tue Jan 17 15:50:27 2006 => Offending Key found: HKLM\Software\kazaa !!!
Tue Jan 17 15:50:27 2006 => Offending Key found: HKCU\Software\kazaa !!!
Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Tue Jan 17 15:50:31 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Tue Jan 17 15:50:44 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 17 15:40:43 2006 => Total Objects Scanned: 38244
Tue Jan 17 17:08:25 2006 => Total Objects Scanned: 46561
Tue Jan 17 15:40:43 2006 => Total Critical Objects: 6
Tue Jan 17 15:40:43 2006 => Total Disinfected Objects: 0
Tue Jan 17 15:40:43 2006 => Total Deleted Objects: 0
Tue Jan 17 17:08:25 2006 => Total Critical Objects: 6
Tue Jan 17 17:08:25 2006 => Total Disinfected Objects: 0
Tue Jan 17 17:08:25 2006 => Total Deleted Objects: 0
Tue Jan 17 15:40:43 2006 => Total Errors: 52
Tue Jan 17 17:08:25 2006 => Total Errors: 52
Tue Jan 17 15:40:43 2006 => Time Elapsed: 00:41:55
Tue Jan 17 17:08:25 2006 => Time Elapsed: 01:17:36
Tue Jan 17 14:50:24 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 14:51:53 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 14:53:11 2006 => Virus Database Date: 1/17/2006
Tue Jan 17 14:57:45 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:40:42 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:40:46 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 15:48:31 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:08:25 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:08:52 2006 => Virus Database Date: 1/16/2006
Tue Jan 17 17:16:49 2006 => Virus Database Date: 1/16/2006

Ich habe schon versucht näheres über die Beseitigung der Biester rauszufinden, aber bisher ohne Erfolg!

Lösche zunächst deine temporären Dateien mittels CleanUp.
Wechsle dann in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Lösche mittels Killbox folgende Dateien:

C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv

Zitat:

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Nach dem Neustart wechsle wieder in den abgesicherten Modus und scanne dein System mit Adaware, Spybot und Ewido.
Neu booten und erstelle ein neues HJT-Logfile.Poste uns auch die Log-Datei von Ewido.

So, alles durchgeführt, hier is das neue Logfile von HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 12:32:25, on 18.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dmgsm.exe] C:\WINDOWS\system32\dmgsm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe

Das Logfile von Ewido zu posten macht glaube ich weniger Sinn da dort nur eine einzige Fehlermeldung steht, die dafür zwölfmal untereinander:

RegQueryValueEx failed, Value: 00000002

Ich hoffe ihr könnt damit was anfangen?

:dummguck:

Hallo,
poste noch das Log(wird nach dem Scan als Textdatei im selben Pfad erzweugt) von F-Secure Blacklight.

Grüße Wildone

So, auch das hätten wir...

01/18/06 13:06:07 [Info]: BlackLight Engine 1.0.30 initialized
01/18/06 13:06:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/18/06 13:06:08 [Note]: 7019 4
01/18/06 13:06:08 [Note]: 7005 0
01/18/06 13:06:13 [Note]: 7006 0
01/18/06 13:06:13 [Note]: 7011 1272
01/18/06 13:06:14 [Note]: FSRAW library version 1.7.1014
01/18/06 13:07:06 [Note]: 7007 0

Hallo,
hmm, Glück gehabt, du hast die Wareout Version ohne Rootkit. Hast du nach dem fixen des O17 Eintrags überhaupt noch die Umleitungsprobleme?

Grüße Wildone

Ja, leider hat sich nach den ganzen Maßnahmen bisher noch nix geändert, die Umleitung erfolgt nach wie vor.

Mir ist jetzt aufgefallen dass kurz vor der Weiterleitung immer dieselbe Seitenadresse angezeigt wird, ich war nur bisher zu langsam sie aufzuschreiben. Würde das was bringen?

Noch eine Frage, wieso ist es denn notwedig das System von gleich fünf verschiedenen Scannern scannen zu lassen? Nutzen die Unterschiedliche Datenbanken oder hat das technische Gründe?

Danke schonmal allen für die bisherige Hilfe!
:daumenhoc

Hallo,
erstens hat quasi jeder Virenscanner seine eigene Scanengine die unterschiedliche Sachen besser oder schlechter erkennen. Zweitens wurde bei dir jetzt nach Viren (Escan) Hijackern+ nicht legitime Prozesse usw. (HijackThis) und Rootkits (Blacklight) gesucht, leider erfolglos. Vielleciht ist es eine neue Variante.
Jetzt stochern wir halt mal ein wenig tiefer, poste mal ein log von Silentrunners.
Und noch eines von RootkitRevealer (wichtig, während dem Scan nichts machen und kein weiteres Programm laufen lassen!)
Außerdem könnte noch ein Onlinescan(mit IE) bei Panda nicht schaden, auch diesen Report posten.

Edit
Beende auch mal folgenden Prozess:
C:\WINDOWS\system32\drivers\dcfssvc.exe
überprüfe die zugehörige Datei hier, und poste das Ergebnis.

Grüße Wildone

Hallo nochmal!

Tja, da habe ich jetzt mehrere Probleme :
1.) Der Server von Silentrunners ist momentan nicht erreichbar, zuviel Traffic
2.) Der online-Scan bei Panda hat nichts erbracht, außerdem habe ich kein Logfile gefunden
3.) Der Scan mit RootkitRevealer hat nix gefunden, log trotzdem posten?
4.) Auf Antwort von Virustotal warte ich noch.

Hallo,
1.) Orginalseite von silentrunners (ohne deutsche Anleitung)
2.) Wenn er nichts gefunden hat, ist der Report auch nicht so wichtig
3.) Nein
4.) Normalerweise kommt die "Antwort" sofort (Javascript aktiviert?) Alternativtest hier.

Grüße Wildone

Hier der Log von Silentrunners :

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"dmfnr.exe" = "C:\WINDOWS\system32\dmfnr.exe" [file not found]
"dmioh.exe" = "C:\WINDOWS\system32\dmioh.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Roxio\WinOnCD\DirectCD\Shellex.dll" ["Roxio"]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Kodak\IFScore\shellext.dll" ["Eastman Kodak Company"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csrnj.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Wolfgang" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Kodak EasyShare Software" -> shortcut to: "C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe -h" ["Eastman Kodak Company"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Dcfssvc, Dcfssvc, "C:\WINDOWS\system32\drivers\dcfssvc.exe" ["Eastman Kodak Company"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S820\Driver = "CNMLM3k.DLL" ["CANON INC."]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 66 seconds, including 11 seconds for message boxes)

Der Scan online bezüglich der Datei "dcfssvc.exe" ergab folgendes :
"EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)"

Hilft dat wat?

Hallo,
die dcfssvc.exe scheint okay zu sein. Suche mal noch folgenden Dateien:

C:\WINDOWS\system32\dmioh.exe
C:\WINDOWS\system32\dmfnr.exe
csrnj.exe (bin mir nicht ganz sicher was den Pfad angeht vielleicht C:\)

und überprüfe sie(falls vorhanden) ebenfalls bei jotti oder virustotal.

Grüße Wildone

Nee auch die sind alle in Ordnung...

Ich habe mal andere Threads durchstöbert, einer beschreibt genau dasselbe Problem, auch die von ihm benannte Webseite ist identisch - guckst du hier :
http://www.trojaner-board.de/showthread.php?t=25635 -

Nur funktioniert dessen Lösung des Problems bei mir nicht...?

Langsam wirds seltsam...:confused:

Hallo,

Zitat:

Nee auch die sind alle in Ordnung...

Das kann ich mir eigentlich nicht vorstellen.
schicke sie mal wie hier beschrieben (gepackt usw...) an diese E-Mail Adresse:
newvirus@kaspersky.com
und poste die Antwort, die du erhältst.

Edit
Außerdem besorst du dir mal Regseeker und suchst mit dem Programm nach folgendem String: "498478B0-90A5-4C96-BE7B-9EBC96D3CA4C"
eventuelle Ergebnisse postest du.

Grüße Wildone

Ok, folgendes neues gibts zu berichten :

Zu obigem Eintrag, der war Stuß, ich wollte schreiben dass diese Dateien bei mir gar nicht vorhanden sind und ich sie deswegen gar net prüfen kann.

Der Regseeker hat unter dem Schlüssel ne Menge Einträge gefunden, alle im HKEY_Local_Machine - Bereich. Was genau heißt denn das?

Außerdem ist im Autostart - Ornder ne Datei die ich nicht zuordnen kann, dmybd.exe, was is denn das?

Und zu guter Letzt, ich habe jetzt noch zwei weitere Topics gefunden hier im Forum die dasselbe Problem schildern, und auch deren IP-Adressen der Weiterleitungsseiten sind identisch mit meiner, scheint also kein so seltenes Problem zu sein...?

Hilft das was?

Hallo,
also allgemein ist es kein seltenes Problem (wird häufig als Wareout bezeichnet), das allerdings mit F-Secure Blacklight nichts zu finden ist und auch nach dem fixen des O17 Eintrags die Umleitung noch stattfindet ist schon eher selten.

Bitte poste die genauen Registryschlüssel die gefunden wurden, sie sollten alle zu dem veränderten DNS Eintrag gehören.

Mir scheint das sich eine dafür verantwortliche Datei immer umbenennt und du sie deshalb nicht finden kannst, aber gehe bei der Suche trotzdem mal folgendermaßen vor, findest du immernoch nichts?

Prüfe die Datei dmybd.exe hier und poste das Ergebnis.

Grüße Wildone

Gibt es eine Möglichkeit die Ergebnisse von RegSeeker irgendwie als Logfile oder so zu speichern? Ich habe unter dem Schlüssel 111 Einträge gefunden, wenn ich die alle hier poste wird das verdammt lange...

Zur Datei dmybd.exe, die is gar nicht mehr auf meinem System vorhanden, war ne "Karteileiche" in der Registry...

Die anderen Dateien habe ich trotz des Suchens wie angegeben nicht gefunden.

Hallo,
poste mal die Einträge unter folgenden Registryschlüsseln:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
und
lösche mal folgenden Eintrag:
unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = "csrnj.exe"

Zitat:

Ich habe unter dem Schlüssel 111 Einträge gefunden

*Schluck* Da bin ich mir jetzt einfach nicht sicher genug um zu sagen "lösche sie alle".

Mache mal noch folgendes:
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt --> kopiere die Textdatei hier

Grüße Wildone

Also hier schonmal der Inhalt der Registry unter HKLM..../Run

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVGCtrl"="C:\\Programme\\AVPersonal\\AVGNT.EXE /min"
"dmfnr.exe"="C:\\WINDOWS\\system32\\dmfnr.exe"
"dmpuf.exe"="C:\\WINDOWS\\system32\\dmpuf.exe"
"dmybd.exe"="C:\\WINDOWS\\system32\\dmybd.exe"
"dmike.exe"="C:\\WINDOWS\\system32\\dmike.exe"
"dmqjj.exe"="C:\\WINDOWS\\system32\\dmqjj.exe"

Zu mehr komme ich heute abend nicht, Rest gibts morgen. Hier fällt mir jetzt auf dass einige Einträge wieder vorhanden sind obwohl sie gestern gelöscht waren. Kann es sein, dass irgendwo ne Datei liegt die diese Einträge bei jedem Neustart wieder "generiert"?

Hier der Log von Fixwareout :

Fixwareout ver 1.003
Last edited 1/12/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\fhamd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\DMAHF.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

Ich habe versucht die Regisrty zu exportieren und dann hier zu posten, ich komme dann aber über den maximal erlaubten Zeichensatz.
Was könnte ich denn da machen? Was hat es denn mit dem Schlüssel auf sich?

Hallo,

Zitat:

Hier fällt mir jetzt auf dass einige Einträge wieder vorhanden sind obwohl sie gestern gelöscht waren. Kann es sein, dass irgendwo ne Datei liegt die diese Einträge bei jedem Neustart wieder "generiert"?

Genau den Verdacht habe ich auch, die Frage ist nur welche Datei dafür verantwortlich ist.
Hast du den Registrykey den ich dir genannt habe gelöscht?

Zitat:

Ich habe versucht die Regisrty zu exportieren und dann hier zu posten, ich komme dann aber über den maximal erlaubten Zeichensatz.

Ähmm, du wolltest jetzt aber nicht die gesammte Registry posten, oder?

Zitat:

Was könnte ich denn da machen? Was hat es denn mit dem Schlüssel auf sich?

Welchen Schlüssel meinst du jetzt genau?

Wenn du morgen den Rechenr hochfährst schaust du noch mal welche Einträge hier:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
zu finden sind, und suchst nach allen angegebenen Dateien, falls du eine findest prüfst du sie bei dem Onlinescanner.

Mache vielleicht auch mal einen Onlinescan bei Panda, vielleicht findet der noch etwas.

Grüße Wildone

Hallo,

statt Regseeker empfiehlt sich folgendes:
Lade Regsearch herunter und entpacke die enthaltenen Dateien in einen Ordner deiner Wahl. Starte die "regsearch.exe" und kopiere unter "Enter search strings" folgendes hinein:

Zitat:

498478B0-90A5-4C96-BE7B-9EBC96D3CA4C

-> Auf OK klicken und etwas warten-> ein Notepad-Fenster öffnet sich-> Poste den Inhalt o. hänge die Datei an.

Zitat:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = "csrnj.exe"

Solltest/Darfst du nicht löschen.
Stattdessen:

Code:

Windows Registry Editor Version 5.00
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

In den Editor kopieren & als Fix.reg abspeichern-> Doppelklick-> Ja-> OK

Erstelle und poste ein WinPFind-Log. Lade dir die Datei datFind.bat herunter und poste die 4 Logs.

Hier der log von datFind.bat :

Verzeichnis von C:\WINDOWS\system32

23.01.2006 11:23 111.784 FNTCACHE.DAT
22.01.2006 10:23 2.228 wpa.dbl
19.01.2006 12:14 0 asfiles.txt
19.01.2006 12:10 2.550 Uninstall.ico
19.01.2006 12:10 1.406 Help.ico
19.01.2006 12:10 30.590 pavas.ico
19.01.2006 12:03 7.006 jupdate-1.5.0_06-b05.log
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
29.11.2005 13:29 311.740 perfh009.dat
29.11.2005 13:29 40.128 perfc009.dat
29.11.2005 13:29 316.924 perfh007.dat
29.11.2005 13:29 48.354 perfc007.dat
29.11.2005 13:29 723.744 PerfStringBackup.INI
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
10.11.2005 22:43 17.805 $winnt$.inf
10.11.2005 22:33 16.832 amcompat.tlb
10.11.2005 22:33 23.392 nscompat.tlb
10.11.2005 22:31 488 WindowsLogon.manifest
10.11.2005 22:31 488 logonui.exe.manifest
10.11.2005 22:30 749 wuaucpl.cpl.manifest
10.11.2005 22:30 749 nwc.cpl.manifest
10.11.2005 22:30 749 ncpa.cpl.manifest
10.11.2005 22:30 749 sapi.cpl.manifest
10.11.2005 22:30 749 cdplayer.exe.manifest
10.11.2005 22:28 22.880 emptyregdb.dat
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:11 15.584 spmsg.dll
12.10.2005 17:54 2.064 d3d8caps.dat
06.10.2005 04:08 1.839.616 win32k.sys

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

25.01.2006 10:01 16.384 Perflib_Perfdata_d40.dat
25.01.2006 09:49 0 me_Pvvo9cMMEJ9U2gG
25.01.2006 09:49 0 me_xzZfRX3f298kp6
25.01.2006 09:49 0 me_wi7lqeF0RG1nKME
25.01.2006 09:49 0 me_aSKDzcZ
11.10.2005 23:16 81 desktop.ini
6 Datei(en) 16.465 Bytes
0 Verzeichnis(se), 3.481.530.368 Bytes frei

Verzeichnis von C:\WINDOWS

25.01.2006 09:49 54.156 QTFont.qfn
25.01.2006 08:37 0 0.log
25.01.2006 08:37 1.310.738 WindowsUpdate.log
25.01.2006 08:36 2.048 bootstat.dat
24.01.2006 19:53 32.626 SchedLgU.Txt
23.01.2006 21:41 231 system.ini
23.01.2006 11:29 3.022 mozver.dat
19.01.2006 12:14 724 win.ini
19.01.2006 12:12 266.907 setupapi.log
18.01.2006 08:42 442.332 ntbtlog.txt
17.01.2006 18:41 17.159 wmsetup.log
17.01.2006 17:54 50 wiaservc.log
17.01.2006 17:54 214 wiadebug.log
17.01.2006 17:16 26 Lic.xxx
17.01.2006 09:38 0 nsreg.dat
17.01.2006 09:30 107.132 UninstallFirefox.exe
11.01.2006 06:52 193.662 comsetup.log
11.01.2006 06:52 620.982 iis6.log
11.01.2006 06:52 26.140 tabletoc.log
11.01.2006 06:52 235.610 tsoc.log
11.01.2006 06:52 27.762 ocmsn.log
11.01.2006 06:52 114.030 ntdtcsetup.log
11.01.2006 06:52 1.374 imsins.log
11.01.2006 06:52 10.185 KB908519.log
11.01.2006 06:52 251.080 ocgen.log
11.01.2006 06:52 87.888 netfxocm.log
11.01.2006 06:52 35.422 MedCtrOC.log
11.01.2006 06:52 25.282 msgsocm.log
11.01.2006 06:52 492.984 FaxSetup.log
11.01.2006 06:51 165.710 msmqinst.log
06.01.2006 16:00 11.085 KB912919.log
06.01.2006 16:00 37.015 updspapi.log
15.12.2005 15:15 19.009 KB905915.log
15.12.2005 15:14 7.306 KB910437.log
12.12.2005 12:57 0 uniq
07.12.2005 16:29 25 WinOnCD.ini
04.12.2005 21:19 0 OPPRIN~1.INI
28.11.2005 20:45 43.970 KB899587.log
28.11.2005 20:45 48.015 KB896422.log
28.11.2005 20:45 47.653 KB885835.log
28.11.2005 20:44 45.287 KB885836.log
28.11.2005 20:44 46.807 KB885250.log
28.11.2005 20:44 50.310 KB901017.log
28.11.2005 20:44 42.588 KB899591.log
28.11.2005 20:43 41.875 KB896424.log
28.11.2005 20:43 42.473 KB893756.log
28.11.2005 20:43 43.585 KB896423.log
28.11.2005 20:43 43.833 KB873339.log
28.11.2005 20:43 43.974 KB888113.log
28.11.2005 20:42 44.816 KB887742.log
28.11.2005 20:42 42.414 KB896358.log
28.11.2005 20:42 40.017 KB891781.log
28.11.2005 20:42 56.374 KB902400.log
28.11.2005 20:41 37.918 KB890046.log
28.11.2005 20:41 33.552 KB896688.log
28.11.2005 20:40 36.411 KB893066.log
28.11.2005 20:40 35.545 KB899589.log
28.11.2005 20:40 36.143 KB905414.log
28.11.2005 20:39 33.960 KB901214.log
28.11.2005 20:39 31.699 KB888302.log
28.11.2005 20:39 36.526 KB900725.log
28.11.2005 20:39 19.653 KB886185.log
28.11.2005 20:38 28.747 KB904706.log
28.11.2005 20:38 29.706 KB905749.log
28.11.2005 20:38 30.237 KB896428.log
28.11.2005 20:38 30.399 KB894391.log
28.11.2005 20:38 33.545 KB890859.log
28.11.2005 18:44 18.043 KB893803v2.log
11.11.2005 11:43 1.456 COM+.log
10.11.2005 22:43 582.644 setuplog.txt
10.11.2005 22:43 71.455 setupact.log
10.11.2005 22:43 11.229 setuperr.log
10.11.2005 22:33 316.640 WMSysPr9.prx
10.11.2005 22:33 1.272 OEWABLog.txt
10.11.2005 22:32 4.161 ODBCINST.INI
10.11.2005 22:30 749 WindowsShell.Manifest
10.11.2005 22:29 2.065 sessmgr.setup.log
10.11.2005 22:28 253 DtcInstall.log
10.11.2005 22:27 400 cmsetacl.log
10.11.2005 22:18 3.444 regopt.log
10.11.2005 22:00 11.750 WINNT32.LOG
10.11.2005 21:59 842 UPGRADE.TXT
10.11.2005 21:59 590 wsdu.log
10.11.2005 21:58 403 DHCPUPG.LOG
29.10.2005 16:19 3.508 cddabase.ini
25.10.2005 16:44 304.326 setupapi.old
20.10.2005 15:56 849 dop.ini
07.10.2005 17:46 236 wmsetup10.log

Verzeichnis von C:\

25.01.2006 10:18 0 sys.txt
25.01.2006 10:17 7.252 system.txt
25.01.2006 10:16 565 systemtemp.txt
25.01.2006 10:12 93.563 system32.txt
25.01.2006 08:36 402.186.240 hiberfil.sys
25.01.2006 08:36 603.979.776 pagefile.sys
17.01.2006 17:16 2 AVPCallback.log
17.01.2006 17:08 0 23990098.$$$
15.01.2006 10:03 1.323 History.txt
15.01.2006 09:57 278.016 regsearch.exe
10.11.2005 22:26 211 boot.ini

Log ReagSearch
REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 25.01.2006 10:00:52 for strings:
; '498478b0-90a5-4c96-be7b-9ebc96d3ca4c'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General]
"InterfaceList"="\\DEVICE\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\2]
"ServiceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"NetCfgInstanceId"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]
"SymbolicLink"="\\\\?\\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Connection]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters]
"{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"=hex:06,00,00,00,00,00,00,00,08,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PSched\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteAccess\Interfaces\2]
"InterfaceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters\Tcpip]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"NetCfgInstanceId"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]
"SymbolicLink"="\\\\?\\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Connection]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Dhcp\Parameters]
"{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"=hex:06,00,00,00,00,00,00,00,04,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Parameters\Interfaces\Tcpip_{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PSched\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RemoteAccess\Interfaces\2]
"InterfaceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters\Tcpip]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"NetCfgInstanceId"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]
"SymbolicLink"="\\\\?\\PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#PCI#VEN_10EC&DEV_8139&SUBSYS_25031259&REV_10#3&61aaa01&0&60#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Connection]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]
"{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"=hex:06,00,00,00,00,00,00,00,08,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PSched\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2]
"InterfaceName"="{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{498478B0-90A5-4C96-BE7B-9EBC96D3CA4C}\Parameters\Tcpip]

; End Of The Log...

Und zuletzt die WinPFind - Log :

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 15.01.2006 09:57:42 278016 C:\regsearch.exe

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 29.08.2002 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 12.07.2005 18:04:22 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
PECompact2 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 03.08.2004 23:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 03.08.2004 23:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 29.08.2002 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
25.01.2006 08:36:54 S 2048 C:\WINDOWS\bootstat.dat
25.01.2006 09:49:36 H 54156 C:\WINDOWS\QTFont.qfn
01.12.2005 04:44:42 S 21633 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB905915.cat
02.12.2005 01:12:38 S 10925 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB910437.cat
03.01.2006 00:09:26 S 11223 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB912919.cat
25.01.2006 08:38:14 H 1024 C:\WINDOWS\system32\config\default.LOG
25.01.2006 09:49:18 H 1024 C:\WINDOWS\system32\config\SAM.LOG
25.01.2006 08:47:06 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
25.01.2006 10:26:18 H 1024 C:\WINDOWS\system32\config\software.LOG
25.01.2006 09:49:58 H 1024 C:\WINDOWS\system32\config\system.LOG
11.01.2006 06:52:16 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
19.01.2006 18:42:34 S 1047 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\7C8A03C4580C6B04FDF34357F3474EDC
19.01.2006 18:42:34 S 1370 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\B82262A5D5DA4DDACE9EDA7F787D0DEB
19.01.2006 18:42:34 S 126 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\7C8A03C4580C6B04FDF34357F3474EDC
19.01.2006 18:42:34 S 194 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\B82262A5D5DA4DDACE9EDA7F787D0DEB
09.01.2006 12:20:42 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\e99e7930-181e-483f-a118-650351e30de1
09.01.2006 12:20:42 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
25.01.2006 08:37:00 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 03.08.2004 23:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 03.08.2004 23:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 03.08.2004 23:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 03.08.2004 23:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 03.08.2004 23:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 13:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 03.08.2004 23:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 03.08.2004 23:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 03.08.2004 23:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 29.08.2002 13:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 03.08.2004 23:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 03.08.2004 23:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 06.05.2001 20:10:14 288768 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 03.08.2004 23:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 03.08.2004 23:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 03.08.2004 23:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 03.08.2004 23:58:24 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 03.08.2004 23:58:24 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl
Microsoft Corporation 03.08.2004 23:58:24 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 03.08.2004 23:58:24 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 03.08.2004 23:58:24 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 03.08.2004 23:58:24 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl
Microsoft Corporation 03.08.2004 23:58:24 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 29.08.2002 13:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 03.08.2004 23:58:24 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 03.08.2004 23:58:24 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 03.08.2004 23:58:24 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 03.08.2004 23:58:24 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 03.08.2004 23:58:24 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 03.08.2004 23:58:24 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
20.10.2005 14:05:58 1743 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
10.11.2005 22:33:30 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
27.07.2005 11:43:46 1797 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
22.07.2005 15:51:48 1715 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
10.11.2005 22:18:06 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
14.01.2006 14:00:06 8 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DirectCDUserName.txt

Checking files in %USERPROFILE%\Startup folder...
13.07.2005 09:17:16 HS 84 C:\Dokumente und Einstellungen\Wolfgang\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
13.07.2005 09:46:00 HS 62 C:\Dokumente und Einstellungen\***\Anwendungsdaten\desktop.ini
12.12.2005 12:57:38 2235201 C:\Dokumente und Einstellungen\***\Anwendungsdaten\Install.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6224f700-cba3-4071-b251-47cb894244cd}
ButtonText = ICQ Pro : C:\PROGRA~1\ICQ\ICQ.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\system32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
dmfnr.exe C:\WINDOWS\system32\dmfnr.exe
dmpuf.exe C:\WINDOWS\system32\dmpuf.exe
dmybd.exe C:\WINDOWS\system32\dmybd.exe
dmike.exe C:\WINDOWS\system32\dmike.exe
dmajp.exe C:\WINDOWS\system32\dmajp.exe
dmnvz.exe C:\WINDOWS\system32\dmnvz.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSMSGS "C:\Programme\Messenger\msmsgs.exe" /background
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun ‘

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs

»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 25.01.2006 10:28:43

@Wildone :
Natürlich wollte ich die komplette Registry posten...;-)
Nee nur die Auszüge des von dir vorgegebenen Key, der auch im Beitrag von Haui45 aufgegriffen wurde. Aber selbst das wäre zu viel geworden für einen Post. Diesen Schlüssel meinte ich auch, was es mit dem auf sich hat.

Dann wollen wir mal sehen...

Lade dir ClearProg herunter.

Starte den PC im abgesicherten Modus.

Lösche die Temp-Files von Windows und vom Internet Explorer mit ClearProg.

Stell sicher, dass der TeaTimer von Spybot S&D deaktiviert ist!
Start-> Ausführen-> "regedit" ->Eingabetaste
Navigiere zu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Auf der rechten Seiten jeweils Rechtsklick-> Löschen auf die u.g. Einträge

Zitat:

dmfnr.exe C:\WINDOWS\system32\dmfnr.exe
dmpuf.exe C:\WINDOWS\system32\dmpuf.exe
dmybd.exe C:\WINDOWS\system32\dmybd.exe
dmike.exe C:\WINDOWS\system32\dmike.exe
dmajp.exe C:\WINDOWS\system32\dmajp.exe
dmnvz.exe C:\WINDOWS\system32\dmnvz.exe

Lösche mit Killbox [1] folgendes:

Zitat:

C:\WINDOWS\system32\dmpuf.exe
C:\WINDOWS\system32\dmybd.exe
C:\WINDOWS\system32\dmike.exe
C:\WINDOWS\system32\dmajp.exe
C:\WINDOWS\system32\dmnvz.exe
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\pavas.ico

[1] -> Anwendungsbeispiel von Killbox

Zitat:

Zitat von Cidre

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Neustart.
Systemsteuerung-> Netzwerkverbindungen-> Rechtsklick auf deine Standardverbindung-> Eigenschaften-> Reiter "Allgemein"-> Doppelklick auf Internetprotokoll (TCP/IP)-> IP-Adresse automatisch beziehen-> OK-> Ok
PC neustarten.

Führe Regsearch nochmals aus, einmal mit dem Search-String

Zitat:

85.255.116.90

und einmal mit

Zitat:

85.255.112.207

Überprüfe diese Datei auf http://virusscan.jotti.org
C:\Windows\uniq

Lade DLLcompare herunter-> Starte das Programm->

Als Pfad sollte C:\Windows\System32 eingetragen sein (wenn nicht machst du das bitte)
Als Dateiendung musst du *.exe auswählen

-> Klick auf "Run Locate.com" -> Wenn fertig auf "Compare"-> Wenn fertig-> "Make a Log of what was found"

Kopiere diesen Text in ein Notepad-Fenster und speichere das Ganze als Find.bat ab (wichtig ist die Dateiendung "bat"):

Code:

dir C:\Windows\System32\dm* >C:\Log.txt

start C:\Log.txt

Doppelklick auf Find.bat

Poste dann folgendes:
Den Inhalt von C:\Log.txt
die Regsearch-Ergebnisse
das DLLCompare-Log
das "Jotti-Ergebnis"
ein StartDreck-Log

HTH

So, hat etwas gedauert, bin etwas im Klausurstreß momentan...

1.) Log.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 6C8F-A52B

Verzeichnis von c:\Windows\system32

03.08.2004 23:57 225.280 dmadmin.exe
03.08.2004 23:57 28.672 dmband.dll
03.08.2004 23:57 61.440 dmcompos.dll
29.08.2002 13:00 330.752 dmconfig.dll
29.08.2002 13:00 273.920 dmdlgs.dll
03.08.2004 23:57 200.704 dmdskmgr.dll
29.08.2002 13:00 138.752 dmdskres.dll
03.08.2004 23:57 181.248 dmime.dll
29.08.2002 13:00 18.432 dmintf.dll
03.08.2004 23:57 44.032 dmlmd.exe
03.08.2004 23:57 35.840 dmloader.dll
29.08.2002 13:00 19.456 dmocx.dll
03.08.2004 23:57 15.872 dmremote.exe
03.08.2004 23:57 82.432 dmscript.dll
03.08.2004 23:57 24.064 dmserver.dll
03.08.2004 23:57 105.984 dmstyle.dll
03.08.2004 23:57 103.424 dmsynth.dll
03.08.2004 23:57 104.448 dmusic.dll
04.08.2004 00:10 59.392 dmutil.dll
29.08.2002 13:00 61.440 dmview.ocx
20 Datei(en) 2.115.584 Bytes
0 Verzeichnis(se), 3.336.179.712 Bytes frei

2.) RegSearch :
In beiden Fällen nix gefunden

3.) DLLCompare-Log
Ähm, eine Datei dieses Namens finde ich nirgends, wie heißt die denn richtig?

4.) C:\Windows\System\uniq
Die Datei kann nicht hochgeladen werden da sie angeblich >10MB ist, angezeigt werden 43KB...

5.) StartDreck - Log
ist 1.113KB groß, kann ich hier weder posten noch hochladen...Was tun?

zu 1.)
C:\Windows\System32\dmlmd.exe ist mit ziemlicher Wahrscheinlichkeit Malware. Bitte auf http://virusscan.jotti.org überprüfen.

zu 2.)
Sehr gut.

zu 3.)
"Make a Log of what was found" → Datei abspeichern wo du willst und dann posten.

zu 4.)
Lösche die Datei mit Killbox.

zu 5.)
Sehr seltsam...
Lade das Log hier rauf und poste den Link.

1.) Bingo!

Folgendes Ergebinss:
Infected Malware,
Trojan.Win32.Small.fb,
Win32/Small.FB,
Trojan.Win32.Pakes

Mittes Killbox löschen?

zu 5.)
Hier der Link
hxxp://rapidshare.de/files/12111532/StartDreck.log.html

Die o.g. Datei solltest du löschen.
Warum Startdreck praktische alle Dateien auf C: auflistet weiß ich nicht. Vielleicht ein Bug :confused:
Ansonsten schaut's aber gut aus

3. fehlt noch ;)

Ok beide Dateien sind gelöscht.

Hier der Log zu 3.)

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

1.207 items found: 1.207 files, 0 directories.
Total of file sizes: 235.897.150 bytes 224,97 M

Administrator Account = True

--------------------End log---------------------

Wie sieht es jetzt aus? Wirst du bzw. wird dein Browser noch umgeleitet?

Der letzte Schlag hatte scheinbar Erfolg, die Weiterleitung ist aufgehoben!!

:party:

Vielen Dank allen Usern des Forums die mir weitergeholfen haben, da wäre ich alleine im Leben net hingekommen!!!
:daumenhoc

Eine Frage hätte ich noch : Welche Datei war denn da jetzt verantwortlich dafür? Gibt es Möglichkeiten sich vor solchen Dingen zu schützen ( den IE verwende ich schon nicht mehr, bin umgestiegen auf Mozilla ).
Wo fängt man sich denn sowas ein? Ich bin definitiv nicht auf irgendwelchen Speckseiten oder sonstigen grenzlegalen Seiten unterwegs...:confused: ?

Ok das sind jetzt drei Fragen, aber trotzdem...
:-)

Zitat:

Zitat von Pianoman.ht

Welche Datei war denn da jetzt verantwortlich dafür?

Haupsächlich wohl die dm***.exe-Dateien. Die Mischung macht's ;)

Zitat:

Gibt es Möglichkeiten sich vor solchen Dingen zu schützen ( den IE verwende ich schon nicht mehr, bin umgestiegen auf Mozilla ).

Lies ein wenig auf http://www.cidres-security.de und http://malware.derbilk.de
Das sollte dir schon weiterhlefen.

Zitat:

Wo fängt man sich denn sowas ein? Ich bin definitiv nicht auf irgendwelchen Speckseiten oder sonstigen grenzlegalen Seiten unterwegs...:confused: ?

Außer den von dir schon genannten Dingen, können solche Schädlinge z.B. durch Lücken im Betriebssystem, durch präparierte HTML-Mails o.ä. aufs System gelangen.