Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: Thomas82 am 13.03.06, 15:11:24
-
Hallo ich habe folgendes Problem die links von meinen google-Suchergebnissen werden zum teil falsch weitergeleitet meist zu der Seite von iqbattle (http://213.83.55.150/promo.html ) oder auch zu anderen Seiten z.b ebay. Desweiteren öffnet sich die suchfunktion von dem IE.
Ich habe schon antivir drüberlaufen lassen und den BitDefender Online Scanner benutzt nix gefunden.
Da mich die Weiterleitung richtig nervt bitte ich um eure Hilfe ich möchte den Übeltäter endlich vernichten ;D
mein HijackThis-Log.
Logfile of HijackThis v1.99.1
Scan saved at 15:08:16, on 13.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Visage\PDF Printer\vspdfprsrv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\McFly\LOKALE~1\Temp\tmpA8\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.wikipedia.org/wiki/Hauptseite
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D7405954-6EBD-4A0F-8D89-051ED74A4AEF} - C:\WINDOWS\system32\kbdukx32.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Glass2k] C:\Dokumente und Einstellungen\McFly\Desktop\Glass2k.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120004885421
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://supporter.dyndns.org/plugin/h263ctrl.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
-
Hallo,
im Log fällt eine Datei auf
C:\WINDOWS\system32\kbdukx32.dll
(Vermutlich ein TROJAN.DOWNLOADER)
Bitte überprüfe diese Datei mit dem folgenden Onlinedateiscanner
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/
Bitte postet das Ergebnis hier.
Falls noch nicht erfolgt, prüfe im Anschluss unbedingt deinen PC mit einen Online-Scanner. Für eine schnelle und kostenlose Überprüfung des kompletten System sind die folgende Online-Scanner gut. Übrigens, alle laufen nur unter dem Microsoft Internet Explorer und besitzen eine Reinigungsfunktion.
Lösche zuvor bitte noch deinen Browser Cache und alle sonstigen Temporären Dateien,
Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe den Cleaner aus.
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)
Wenn die Malwarescanner was finden dann Poste bitte die Scan-Protokolle.
Danach lade dir auf jeden Fall die ebenfalls kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation ist erst mal eine Aktualisierung fällig ist bevor ein vollständiger Scan gestartet wird, entweder über Software direkt oder manuell über den folgenden Link:
http://www.ewido.net/de/download/updates/
Das Protokoll von Scan bitte wieder posten.
Zum Schluss erstell bitte einen neuen HijackThis-Log.
-
Hi vielen Dank folgendes Ergebnis habe ich
VirusTotal
This is a report processed by VirusTotal on 03/14/2006 at 13:40:27 (CET) after scanning the file "kbdukx32.dll" file.
Antivirus Version Update Result
AntiVir 6.34.0.53 03.14.2006 ADSPY/Stud.A.1
Avast 4.6.695.0 03.10.2006 Win32:Trojano-3384
AVG 718 03.13.2006 Adware Generic.LRH
Avira 6.34.0.53 03.14.2006 ADSPY/Stud.A.1
BitDefender 7.2 03.14.2006 Trojan.Downloader.6588.E
CAT-QuickHeal 8.00 03.14.2006 no virus found
ClamAV devel-20060126 03.14.2006 no virus found
DrWeb 4.33 03.14.2006 Trojan.DownLoader.6588
eTrust-InoculateIT 23.71.101 03.14.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 no virus found
Ewido 3.5 03.14.2006 Downloader.Small.cgu
Fortinet 2.71.0.0 03.14.2006 W32/Small.CGU-tr
F-Prot 3.16c 03.14.2006 no virus found
Ikarus 0.2.59.0 03.14.2006 AdWare.Stud.A
Kaspersky 4.0.2.24 03.14.2006 not-a-virus:AdWare.Win32.Stud.a
McAfee 4717 03.13.2006 potentially unwanted program Adware-KeenValue
NOD32v2 1.1442 03.14.2006 a variant of Win32/Adware.BHO.AA
Norman 5.70.10 03.14.2006 W32/Stud.B
Panda 9.0.0.4 03.13.2006 no virus found
Sophos 4.03.0 03.14.2006 no virus found
Symantec 8.0 03.14.2006 no virus found
TheHacker 5.9.5.112 03.13.2006 Adware/Stud.a
UNA 1.83 03.13.2006 Adware.Stud
VBA32 3.10.5 03.13.2006 suspected of Trojan-Downloader.Agent.51
ewido hat die Datei kbdukx32.dll als infiziertes Objekt gefunden und gelöscht
Logfile of HijackThis v1.99.1
Scan saved at 13:47:36, on 14.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\McFly\LOKALE~1\Temp\tmp2B\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.wikipedia.org/wiki/Hauptseite
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D7405954-6EBD-4A0F-8D89-051ED74A4AEF} - C:\WINDOWS\system32\kbdukx32.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Glass2k] C:\Dokumente und Einstellungen\McFly\Desktop\Glass2k.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120004885421
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://supporter.dyndns.org/plugin/h263ctrl.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
-
danke für die infos
-
Hi,
der Logfile of HijackThis hat noch drei Einträge, von denen aber keine Gefahr ausgehen kann. Fixe die folgende Einträge mit HijackThis. Ansonsten ist dein PC wieder clean.
O2 - BHO: (no name) - {D7405954-6EBD-4A0F-8D89-051ED74A4AEF} - C:\WINDOWS\system32\kbdukx32.dll (file missing)
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://supporter.dyndns.org/plugin/h263ctrl.cab
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
Ansonsten ist dein PC wieder clean.
Daher solltest du jetzt mit TrueImage ein neues Image vom LW C: anlegen.
Prüfe ob alte Images eventuell mit der Malware bereits versucht sind.
Dazu musst du schauen, ob die Datei im Image unter
C:\WINDOWS\system32\kbdukx32.dll
vorhanden ist.
-
Moin moin!
Hatte das Problem bis heute auch! Hab dann den CCleaner eingesetzt und siehe da...alles OK!;)
Mir ist aufgefallen, das vor dem Einsatz des CCleaner, auf Google beim anschauen der Verknüpfung, nicht die eigentliche Seite angezeigt wurde, sondern ein Link wie: www.google.... usw., jetzt wird wieder der richtige Link angezeigt. Woran es nun genau lag, weiss ich nicht, vermute das sich irgendwas in den temporären Dateien von der Toolbar befunden hat...!?
Greetz und Danke
Teklord
-
Hallo,
habe das gleiche Problem. Anbei das Logfile. Habe schon einige Sachen rausgeschmissen, der Fehler ist aber immernoch da. Weiß jemand weiter. Danke im voraus.
Gruß
Martin
Logfile of HijackThis v1.99.1
Scan saved at 00:03:55, on 24.07.2006
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\avmclient\AvmObex.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\DOKUME~1\Owner\LOKALE~1\Temp\Temporäres Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A5C4B016-D92C-40E2-8A99-41A702801404} - C:\WINDOWS\system32\winrnr32.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SystemTray] %windir%\system32\systray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update] C:\Programme\Hewlett-Packard\HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://download.shockwave.com/pub/otoy/OTOYAX.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Runtime Environment 1.4.1_01) -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display (http://www.computerhilfen.de/fachbegriffe-d-Display.html) Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-
Dein Problem ist dies:
O2 - BHO: (no name) - {A5C4B016-D92C-40E2-8A99-41A702801404} - C:\WINDOWS\system32\winrnr32.dll
Fixe diesen Eintrag!
Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten
Oder verwende das Programm Killbox um die folgenden Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html
Zur Kontrolle überprüfe deinen PC mal mit den folgenden Freeware Online-Scanner.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bieten diese
Online-Scanner gute Dienste. Übrigens, alle laufen nur unter dem Microsoft Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer mit ActiveX und besitzen eine Reinigungsfunktion.
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
Bei Rückfragen bitte die ausführlichen Scanergebnisse hier posten.
-
Danke, das hat geholfen.
Gruß
Martin
-
Mein google führt mich auch ständig auf falsche Seiten und mit Ccleaner hab ich vieles gelöscht.
An alle die mit
Hijack this was anfangen können:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\Downloaded Programs\PC Cleaner\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\System32\Suchspur.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Microsoft Works Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C66 Series (Kopie (http://www.computerhilfen.de/fachbegriffe-k-Kopie.html) 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P33 "EPSON Stylus C66 Series (Kopie (http://www.computerhilfen.de/fachbegriffe-k-Kopie.html) 1)" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O16 "\\LUCIE\Automati" /M "Stylus C66"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\JRGENS~1\LOKALE~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Im Cache (http://www.computerhilfen.de/fachbegriffe-c-Cache.html) gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/154b031d89e715f95c06/netzip/RdxIE601_de.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Computer, (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)
-
Hallo,
dein Problem liegt laut Hijack this an diesen Einträgen:
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\System32\Suchspur.dll
und
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
Dahinter versteckt sich die Adware “SearchBar“
Auch dieser Eintrag ist sehr verdächtig!
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\JRGENS~1\LOKALE~1\Temp\svchost.exe 1
Anbei ein Vorschlag zur Lösung des Problems mit Hilfe von Freeware Programmen, die sich bei Entdeckung und Beseitigung von Schadprogrammen bewährt haben.
Arbeite die Anweisung unbedingt in der Reihenfolge und vollständig ab!
Lösche bitte erneut deinen Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) Cache (http://www.computerhilfen.de/fachbegriffe-c-Cache.html) und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
Lade dir die kostenlose Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) ist unbedingt noch das Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) einzuspielen um die Virenerkennungsdatenbank auf den aktuellen Stand zu bringen!
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk (http://www.computerhilfen.de/fachbegriffe-n-Netzwerk.html) und Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.
-
Hallo,
habe exakt das gleiche Problem! Dazu kommt noch, dass mein Virenscanner immer ein Problem meldet und geschlossen wird. Könnt ihr mit diesem hjt-log etwas anfangen?
Logfile of HijackThis v1.99.1
Scan saved at 00:31:24, on 05.10.2006
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
D:\Spiele\iTunes\iTunesHelper.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\AT-AR215\AT-AR215 USB (http://www.computerhilfen.de/fachbegriffe-u-USB.html) ADSL (http://www.computerhilfen.de/fachbegriffe-a-ADSL.html) WAN (http://www.computerhilfen.de/fachbegriffe-w-WAN.html) Adapter\DSLMON.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Basti\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [iTunesHelper] "D:\Spiele\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB (http://www.computerhilfen.de/fachbegriffe-u-USB.html) ADSL (http://www.computerhilfen.de/fachbegriffe-a-ADSL.html) WAN (http://www.computerhilfen.de/fachbegriffe-w-WAN.html) Adapter\DSLMON.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
-
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31602674-FA0B-4C19-AE73-9799D5F20530}: NameServer = 217.237.150.115 217.237.150.205
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) (InoRPC) - Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) (InoRT) - Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) (InoTask) - Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Computer, (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display (http://www.computerhilfen.de/fachbegriffe-d-Display.html) Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Mit Virustotal habe ich die folgende Datei schon überprüfen lassen, da mein Virenscanner zu dieser Stelle immer noch hingekommen ist. Danach ist er immer agestürzt
STATUS: FINISHEDComplete scanning result of "archive1213.jar-588eab5b-3db611f3", received in VirusTotal at 10.04.2006, 12:40:16 (CET).
Antivirus Version Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) Result
AntiVir 7.2.0.22 10.04.2006 Java/ByteEver.B.1
Authentium 4.93.8 10.03.2006 is a destructive program
Avast 4.7.892.0 10.03.2006 JS:ClassLoader-9
AVG 386 10.03.2006 Java/ByteVerify
BitDefender 7.2 10.04.2006 Java.Trojan.ClassLoader.GH
CAT-QuickHeal 8.00 10.03.2006 no virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) found
ClamAV devel-20060426 10.04.2006 no virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) found
DrWeb 4.33 10.04.2006 Trojan.DownLoader.1450
eTrust-InoculateIT 23.73.13 10.04.2006 Java/ByteVerify!Trojan
eTrust-Vet 30.3.3114 10.04.2006 Java/ByteVerify!exploit
Ewido 4.0 10.04.2006 no virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) found
Fortinet 2.82.0.0 10.04.2006 Java/ClassLoader.AK!tr
F-Prot 3.16f 10.03.2006 destructive program
F-Prot4 4.2.1.29 10.04.2006 Possibly a new unknown PE_Virus!Maximus
Ikarus 0.2.65.0 10.04.2006 Trojan.Java.ClassLoader.AK
Kaspersky 4.0.2.24 10.04.2006 Trojan.Java.ClassLoader.ak
McAfee 4865 10.03.2006 Exploit-ByteVerify
Microsoft 1.1603 10.04.2006 Trojan:Java/Classloader.L
NOD32v2 1.1789 10.04.2006 a variant of Java/ClassLoader.Z
Norman 5.90.23 10.04.2006 Java/Byteverify.D
Panda 9.0.0.4 10.03.2006 Trj/ClassLoader.U
Sophos 4.10.0 10.04.2006 Troj/ByteV-Fam
Symantec 8.0 10.04.2006 Trojan.ByteVerify
TheHacker 6.0.1.091 10.04.2006 Trojan/Nocheat
UNA 1.83 10.03.2006 no virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) found
VBA32 3.11.1 10.03.2006 no virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) found
VirusBuster 4.3.7:9 10.03.2006 no virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) found
Aditional Information
File size: 29695 bytes
MD5: debdee6ffb699227b244be6bb629d88f
SHA1: 9084b0e71e175c96e4958df9fd15cded9572b90e
Über schnelle Hilfe wäre ich sehr dankbar!
-
Lösche bitte deinen Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) Cache (http://www.computerhilfen.de/fachbegriffe-c-Cache.html) und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe CCleaner aus.
Zur Kontrolle überprüfe deinen PC mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer mit ActiveX und besitzen eine Reinigungsfunktion.
F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) sind in Englisch)
Wähle die Option “Vollständiger Systemscan“
Poste bitte das ausführliche Scanprotokoll hier.
Und installiere die aktuelle Version von Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Runtime Environment (JRE) 5.0 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 9
http://java.sun.com/javase/downloads/index.jsp
Bei dir ist die Version (JRE) 5.0 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 4 auf dem PC.
Vor der Installation der Neuen bitte die Alte deinstallieren!
-
The following items were found
Submit
Action
Page
1 / 2
Stealth_file (C:\WINDOWS\SYSTEM32\CSEVN.EXE)
NoneDisinfectRenameDelete
Stealth_file (C:\WINDOWS\SYSTEM32\DMQUX.EXE)
NoneDisinfectRenameDelete
IM-Worm.Win32.Licat.a (C:\SYSTEM VOLUME INFORMATION\_RESTOR...)
NoneDisinfectRenameDelete
Trojan-Downloader.Win32.Banload.bia (C:\SYSTEM VOLUME INFORMATION\_RESTOR...)
NoneDisinfectRenameDelete
Trojan-Downloader.Win32.Banload.bia (C:\DOKUMENTE UND EINSTELLUNGEN\BASTI...)
NoneDisinfectRenameDelete
Tracking Cookie
(http://www.computerhilfen.de/fachbegriffe-c-Cookie.html) NoneDisinfect
Softomate Toolbar
NoneDisinfect
WhenU.WeatherCast
NoneDisinfect
Possible Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) Hijack attempt
NoneDisinfect
Dies wurde alles gefunden!
-
Scanning Report
Thursday, October 05, 2006 11:55:46 - 15:12:57
Computer name: BADDI
Scanning type: Scan system for viruses, rootkits, spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
Target: C:\ D:\ E:\
--------------------------------------------------------------------------------
Result: 9 malware found
IM-Worm.Win32.Licat.a (virus) (http://www.computerhilfen.de/fachbegriffe-v-Virus.html)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP276\A0026508.EXE (Renamed & Submitted)
Possible Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) Hijack attempt (spyware) (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
System (Disinfected)
Softomate Toolbar (spyware) (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
System (Disinfected)
Stealth_file (hidden item)
C:\WINDOWS\SYSTEM32\CSEVN.EXE
C:\WINDOWS\SYSTEM32\DMQUX.EXE
Tracking Cookie (http://www.computerhilfen.de/fachbegriffe-c-Cookie.html) (spyware) (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
System (Disinfected)
Trojan-Downloader.Win32.Banload.bia (virus) (http://www.computerhilfen.de/fachbegriffe-v-Virus.html)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP276\A0026598.EXE (Renamed)
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\SPRDU.EXE (Renamed)
WhenU.WeatherCast (spyware) (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
System (Disinfected)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 42504
System: 5211
Not scanned: 11
Actions:
Disinfected: 4
Renamed: 3
Deleted: 0
None: 2
Submitted: 1
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\TEMP\SQLITE_VNWOFGO5NTWTK7E
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
D:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-10-05
F-Secure Libra: 2.4.1, 2006-10-04
F-Secure Orion: 1.2.37, 2006-10-03
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-08-29
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML (http://www.computerhilfen.de/fachbegriffe-h-HTML.html) HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) ZL? XML ZIP (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) XXX
Use Advanced heuristics
--------------------------------------------------------------------------------
Copyright © 1998-2006 Product support |Send virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI (http://www.computerhilfen.de/fachbegriffe-c-CGI.html) E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain (http://www.computerhilfen.de/fachbegriffe-d-Domain.html) name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.
-
Das ist schon mal OK!
Jetzt deaktivieren die Systemwiederherstellung.
Da anscheinend ein Rootkit auf deinen PC ist,
scanne im Anschluss erneut den kompletten PC mit dem Online-Scanner von F-Secure !
Poste bitte wieder das ausführliche Scanprotokoll hier.
Den PC zum Schluß ein mal booten und die Systemwiederherstellung wieder aktivieren.
-
Und jetzt ENDLICH nochmal im abges. Modus und bei abgeschalteter Systemwiederherstellung !!! ???
-
Und jetzt ENDLICH nochmal im abges. Modus und bei abgeschalteter Systemwiederherstellung !!! ???
Dieses hilft beim Online-Scanner in der Regel nicht weiter.
Und mit seinen installierten Virenscanner wird er damit auch nicht weit kommen,
denn dieser hatte schon vorher versagt, aber schaden wird es auch nicht.
Das Produkt was hier eingesetzt wird, ist nicht empfehlenswert. Hier bietet der Markt viel bessere Lösungen.
-
ABER : ohne anständigen Virenscanner und mit S-W = AN wird er/sie die Dinger NIE los !!!
Wie wäre es , die Platte mit einem IDE-USB-Adapter an einem anderen PC zu scannen ???
Der dortige , ggf ordentliche Virenschutz sollte ja dann den 2. PC schützen , ODER ???
Mein Nachbar : IT-Spezi und PC-Höker , hat sich einen alten PC als reinen Virenscanner eingerichtet !!
Und falls was passiert , kommt das Image wieder drauf !!
-
Scanning Report
Thursday, October 05, 2006 17:15:02 - 17:51:46
Computer name: BADDI
Scanning type: Scan system for viruses, rootkits, spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
Target: C:\ D:\ E:\
--------------------------------------------------------------------------------
Result: 9 malware found
Stealth_file (hidden item)
C:\WINDOWS\SYSTEM32\CSTYD.EXE
C:\WINDOWS\SYSTEM32\DMAVW.EXE
Tracking Cookie (http://www.computerhilfen.de/fachbegriffe-c-Cookie.html) (spyware) (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
System (Disinfected)
System
System
System
System
System
System
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 37918
System: 5209
Not scanned: 11
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 8
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\TEMP\SQLITE_OPSOGJVFHYSTEBC
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
D:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-10-05
F-Secure Libra: 2.4.1, 2006-10-05
F-Secure Orion: 1.2.37, 2006-10-03
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-08-29
F-Secure Draco: 1.0.35, 2006-10-03
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML (http://www.computerhilfen.de/fachbegriffe-h-HTML.html) HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) ZL? XML ZIP (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) XXX
Use Advanced heuristics
--------------------------------------------------------------------------------
Copyright © 1998-2006 Product support |Send virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) sample to F-Secure
-
Ähmm,
irgendwas haben wir übersehen, denn
zwei neue Stealth_file wurden erstellt !
C:\WINDOWS\SYSTEM32\CSTYD.EXE
C:\WINDOWS\SYSTEM32\DMAVW.EXE
Checke deinen PC mit dem kostenlosen Tool BlackLight von F-Secure:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC nach dem Download (http://www.computerhilfen.de/fachbegriffe-d-Download.html) ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk (http://www.computerhilfen.de/fachbegriffe-n-Netzwerk.html) und Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. BlackLight starten und eine komplette Überprüfung des Systems vornehmen.
Nach dem Scan sollten die gefunden Dateien durch die Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) unbenannt werden,
drücke dazu einfach dem entsprechenden Button.
5. Boote den PC neu im abgesicherten Modus (!) und scanne den PC mit Ewido.
Poste auch diesen Bericht !
PC (http://www.computerhilfen.de/fachbegriffe-p-PC.html) wieder normal Starten und scanne im Anschluss erneut den kompletten PC mit dem Online-Scanner von F-Secure !
Poste bitte wieder das ausführliche Scanprotokoll hier.
Die Systemwiederherstellung bleibt deaktivieren !
-
nach dem download (http://www.computerhilfen.de/fachbegriffe-d-Download.html) und dem start in den abgesicherten modus wollte ich blacklight öffnen. Allerdings wird mir dann gemeldet, dass blacklight nur im normalen Modus benutzt werden kann!?
-
Und wieder was gelernt !
::)
Dann führe das Tool im normalen Modus aus.
-
... deaktivieren zuvor die Systemwiederherstellung und scanne im Anschluss gleich mit dem Online-Scanner von F-Secure, ohne den PC neu starten !
Erst danach boote den PC.
Zur Kontrolle führe dann einen mit dem kostenlosen Sophos Anti-Rootkit durch.
http://www.chip.de/downloads/c1_downloads_21584106.html?tid1=27700&tid2=0
Poste bitte alle drei Protokolle wieder!
-
also ich habe die 2 Dateien, die Blacklight gefundne hat renamen lassen und das google Problem ist verschwunden! Keine falschen Weiterleitungen mehr. Ich führe nochmal ewido aus und poste den bericht.Oder soll ich auch noch den Anti-Rootkit ausführen?
-
also Sophos Anti-rootkit hat keine hidden items gefunden! Heißt das jetzt, dass ich meine Probleme endgültig los bin? Oder zur Sicherheit noch welche Programme drüber laufen lassen?
-
Das hört sich doch jetzt Gut an!
Die Malware ist noch auf dem PC, ist aber nicht mehr aktiv.
Scanne mit Ewido und dem Online-Scanner von F-Secure den PC zum letzten mal.
Dabei werden die beiden unbenannten Daten als Malware gemeldet und beseitigt.
Poste die beiden Protokolle, damit ich sie noch mal prüfen kann bzw. damit wissen mit welcher Malware wie es zu tun hatten (auch wenn da eine Vorahnung habe).
-
Scanning Report
Friday, October 06, 2006 15:20:26 - 15:57:59
Computer name: BADDI
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\
Result: 19 malware found
Tracking Cookie (http://www.computerhilfen.de/fachbegriffe-c-Cookie.html) (spyware)
(http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) * System (Disinfected)
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
Statistics
Scanned:
* Files: 37959
* System: 5262
* Not scanned: 9
Actions:
* Disinfected: 1
* Renamed: 0
* Deleted: 0
* None: 18
* Submitted: 0
Files not scanned:
* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\TEMP\SQLITE_JEIMD8ZQUX4XGSH
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
Options
Scanning engines:
* F-Secure AVP: 6.0.171, 2006-10-06
* F-Secure Libra: 2.4.1, 2006-10-05
* F-Secure Orion: 1.2.37, 2006-10-03
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Pegasus: 1.19.0, 2006-08-29
* F-Secure Draco: 1.0.35, 2006-10-03
Scanning options:
* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML (http://www.computerhilfen.de/fachbegriffe-h-HTML.html) HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) ZL? XML ZIP (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) XXX
* Use Advanced heuristics
Copyright © 1998-2006 Product support |Send virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) sample to F-Secure
-
... poste bitte noch den Scanbericht von Ewido !
-
:mozilla.70:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Questionmarket : Keine Aktion durchgeführt.
:mozilla.71:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Questionmarket : Keine Aktion durchgeführt.
:mozilla.73:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.74:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.75:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.76:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.77:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Serving-sys : Keine Aktion durchgeführt.
:mozilla.164:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt.
:mozilla.139:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.140:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.44:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Valueclick : Keine Aktion durchgeführt.
:mozilla.45:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Valueclick : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Valueclick : Keine Aktion durchgeführt.
:mozilla.124:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
:mozilla.107:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Xhit : Keine Aktion durchgeführt.
:mozilla.108:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Xhit : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@count.xhit[1].txt -> TrackingCookie.Xhit : Keine Aktion durchgeführt.
::Berichtende
-
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------
+ Erstellt um: 19:59:06 06.10.2006
+ Scan-Ergebnis:
:mozilla.151:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.102:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@axa.addcontrol[1].txt -> TrackingCookie.Addcontrol : Keine Aktion durchgeführt.
:mozilla.36:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.41:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.42:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.43:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@ad.adition[1].txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.123:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
:mozilla.37:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.23:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.24:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.25:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.26:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.28:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.29:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.30:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.31:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.32:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.33:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.34:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.61:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@as1.falkag[1].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@fastclick[2].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@media.fastclick[1].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
:mozilla.157:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Googleadservices : Keine Aktion durchgeführt.
:mozilla.22:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.27:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.35:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.20:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
:mozilla.150:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Popularix : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Basti\Cookies\basti@ppms.popularix[1].txt -> TrackingCookie.Popularix : Keine Aktion durchgeführt.
:mozilla.69:C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\zhisxbou.default\cookies.txt -> TrackingCookie.Questionmarket : Keine Aktion durchgeführt.
-
So, das soll es gewesen sein.
Es ist keine Malwareinfektion zu entdecken, dein PC ist wieder Clean!
-
Super! Endlich! Vielen vielen Dank für die tolle Hilfe und die wertvollen Tipps!
Eine Frage noch: Die Systemwiederherstellung kann ich nun wieder aktivieren oder?
-
Hallo!
Ich bin am verzweifeln...nachdem ich vor 2 Tagen nach einer Anleitung von hier das Problem der Weiterleitung beseitigt glaubte, ist es nun wieder da. Ich habe mir HijackThis besorgt und die Logfile erstellt:
Ich würde mich sehr freuen, wenn mir jemand helfen könnte.
Danke im Voraus!
Logfile of HijackThis v1.99.1
Scan saved at 21:13:09, on 07.11.2006
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Siemens\Gigaset WLAN (http://www.computerhilfen.de/fachbegriffe-w-WLAN.html) Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) 54\WLANMonitor2003.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\DOKUME~1\MARKO~1.MAR\LOKALE~1\Temp\Temporäres Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Gigaset WLAN (http://www.computerhilfen.de/fachbegriffe-w-WLAN.html) Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN (http://www.computerhilfen.de/fachbegriffe-w-WLAN.html) Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) 54\WLANMonitor2003.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
-
Teil 2 der Logfile:
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BF031D-1D9D-4D0D-A6BF-18F9E5B99DA6}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{29DAC3C3-C50E-40AC-9B0F-F050A4F6F44A}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{3742503C-4D04-4A2D-91DE-4BEF750CDCFC}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{6835FB8B-C648-4483-ABAB-50F1D5A2C2DE}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{903C88AA-375A-4241-90F5-7F95C3802496}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BF031D-1D9D-4D0D-A6BF-18F9E5B99DA6}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{05BF031D-1D9D-4D0D-A6BF-18F9E5B99DA6}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Web.de Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
-
Hi,
dein Internetverkehr wird über die Ukraine durch eine alten “Bekannten“ umgeleitet !
NameServer = 85.255.114.34,85.255.112.9
Fixe alle O17 Einträge aus deinen Logfile of HijackThis
und starte im Anschluss umgehend den PC neu!
Überprüfe deinen PC dann mit dem Freeware Online-Scanner von F-Secure.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser
Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer mit ActiveX und besitzen eine Reinigungsfunktion.
Arbeite die Anweisung unbedingt in der Reihenfolge und vollständig ab!
Deaktiviere zuerst die Systemwiederherstellung von Windows, (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) nur bei XP und ME.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm
Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.
F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) sind in Englisch)
Wähle die Option “Vollständiger Systemscan“
Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner von Ewido erfolgen.
Zum Teil in Englisch und nur für Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)
Poste bitte die beiden ausführliche Scanprotokolle der Onlinescanner hier !
Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder.
Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
-
irgendwie klappt der scan mit dem F-Secure Online Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) nicht, Programm stürzt immer nach ca 30 000 Dateien ab.
Habe das selbe dann mit dem Ewido gemacht, der mir dann auch 2mal abstürzte. Anschließend habe ich die Testversion von Ewido installiert und einen Schnellscan gemacht, der natürlich den "Downloader.Zlob.aty" erkannte und in Quarantäne stellte. Nach einem Neustart hatte ich das Problem immer noch. Ein weiterer Scan mit Ewido brachte das selbe Objekt zum Vorschein...ich habe nun quasi 2 Abende mit Scannen verbracht und bin noch immer nicht weiter :(
Vielleicht weiss jemand noch einen anderen Weg.
Vielen Dank im Voraus.
-
Hi,
dann setze für eine schnelle und kostenlose Überprüfung des kompletten Systems die folgenden Freeware Malware-Scanner erst mal ein. Übrigens, alle samt mit einer Reinigungsfunktion.
1. AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 15 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php
2. Lade dir die Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) NGenFix von Norman herunter, ca. 1,9 MB. http://www.norman.com/Virus/Virus_removal_tools/de
3. Und als nächstes Spybot-S&D, ca. 6,2 MB (mit Updates)
http://www.safer-networking.org/de/download/index.html
Auch hier gilt, das nach der Installation erst mal eine Aktualisierung fällig ist,
siehe unter
http://www.spybotupdates.com/updates/files/spybotsd_includes.exe
Um eine optimale Überprüfung mit den 3 Tools zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk (http://www.computerhilfen.de/fachbegriffe-n-Netzwerk.html) und Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Poste bitte die ausführlichen Scanergebnisse wieder hier.
Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier.
-
Hallo,
man kann natürlich noch ein Proggi und noch ein Proggi runterladen,konfigurieren,updaten und trallalla machen...
Man kann aber auch das Problem so angehen :
http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html
Sir Reklov
-
Hallo,
man kann natürlich noch ein Proggi und noch ein Proggi runterladen,konfigurieren,updaten und trallalla machen...
Man kann aber auch das Problem so angehen :
http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html
Sir Reklov
Ist auch ein Idee die Situation zu klären.
Aber bedenke das nicht jede Zlob Variante der Smitfraud Familie zu zurechnen ist !
Weiter könnten wir nach den jetzigen Informationsstand erst nach einen HijackThis-Log feststellen ob das Programm Smitfraudfix in der Lage ist die Infektion zu beseitigen.
Zudem ist unbekannt, ob dies die einzige Infektion auf dem PC ist.
Deshalb halte ich meinen Lösungsvorschlag für angemessen.
-
also ich habe es diesmal geschafft mit dem durchlauf der 3 programme, die abstürze lagen an einer datei - trotzdem hat alles nichts geholfen. das problem ist immer noch da.
ein ergebnis kann ich leider nur vom avg posten, die anderen liefern keine bzw. lassen sich nicht kopieren.
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------
+ Erstellt um: 23:16:28 10.11.2006
+ Scan-Ergebnis:
C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temp\cd_clint.dll -> Adware.Cydoor : Gesäubert.
[204] VM_00D70000 -> Downloader.Zlob.aty : Gesäubert.
[228] VM_00C20000 -> Downloader.Zlob.aty : Gesäubert.
[756] VM_00B40000 -> Downloader.Zlob.aty : Gesäubert.
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Meine empfangenen Dateien\hihi.exe -> Not-A-Virus.BadJoke.Win32.Badgame : Gesäubert.
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Fun-Ordner\FUN an @ disaster area C 413 - icq (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) 135974607 (Win-ini)\ParanoidHomer.exe -> Not-A-Virus.BadJoke.Win32.Deskop : Gesäubert.
::Berichtende
HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 01:26:04, on 11.11.2006
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset WLAN (http://www.computerhilfen.de/fachbegriffe-w-WLAN.html) Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) 54\WLANMonitor2003.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\MARKO~1.MAR\LOKALE~1\Temp\Temporäres Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
-
Teil #2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Gigaset WLAN (http://www.computerhilfen.de/fachbegriffe-w-WLAN.html) Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN (http://www.computerhilfen.de/fachbegriffe-w-WLAN.html) Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) 54\WLANMonitor2003.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Web.de Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
irgendwie bin ich völlig angenervt, da ich nun schon den 3. Tag zu gange bin :(
Wahrscheinlich bleibt dann doch nur eine Neuinstallation...
-
Hi,
das hört sich nicht so gut an.
AVG Anti-Spyware findet die Malware nur im Speicher, dies kann nur bedeutet,
dass die infizierte Malwaredatei sich verstecken kann, ein Rootkit also!
Checke deinen PC mit dem kostenlosen Tool BlackLight von F-Secure:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Das Tool kann viele Rootkit problemlos entfernen.
Poste das Ergebnis von BlackLight hier.
-
guten morgen!
ich habe letzte nacht nochmal mit f-secure durchlaufen lassen. hat was gefunden und auch bereinigt - problem ist jedoch weiter vorhanden. lassen dann nun mal mit dem eben von dir empfohlnenen scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) durchlaufen.
hier der bericht von eben:
Logfile of HijackThis v1.99.1
Scan saved at 01:26:04, on 11.11.2006
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 (7.00.5730.0011)
Result: 5 malware found
Dumaru.Z@mm (virus) (http://www.computerhilfen.de/fachbegriffe-v-Virus.html)
C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\Identities\{4820A29A-D97B-4EB5-88B2-CEC2E95E4C48}\Microsoft\Outlook Express\Gelöschte Objekte.dbx\Elene .....ENSUICIDE@HOTMAIL.COM, Important information for you. Read it immediately !.eml\[From "Elene" ][Subject:Important information for you. Read it immediately !]
Email-Worm.Win32.Dumaru.o (virus) (http://www.computerhilfen.de/fachbegriffe-v-Virus.html)
C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\Identities\{4820A29A-D97B-4EB5-88B2-CEC2E95E4C48}\Microsoft\Outlook Express\Gelöschte Objekte.dbx\Elene .....ENSUICIDE@HOTMAIL.COM, Important information for you. Read it immediately !.eml\[From "Elene" ][Subject:Important information for you. Read it immediately !]\no name\myphoto.jpg .exe
Stealth_file (hidden item)
C:\WINDOWS\system32\kduks.exe (Submitted)
Swizzor.HK (virus) (http://www.computerhilfen.de/fachbegriffe-v-Virus.html)
C:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temp\sta1.exe (Submitted)
Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) (spyware) (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
System (Disinfected)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 295074
System: 4811
Not scanned: 96
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 4
Submitted: 2
Files not scanned:
x� 8�D�IBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\BIOS1.ROM
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
C:\TEXMF\SOURCE\LATEX\TIMESHT\MANIFEST
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\PROGRAMME\SONIC\BACKUP MYPC 6\SYSTEM\ISO9660.BIN
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE.NT-AUTORITÄT\NTUSER.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE.NT-AUTORITÄT\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\NTUSER.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\TEMP\~DF1D53.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\GOOGLE DESKTOP (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) SEARCH\DBDAM
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO.MARKOLAPTOP\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\GOOGLE DESKTOP (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) SEARCH\DBEAM
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\PERFLIB_PERFDATA_6A0.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\PERFLIB_PERFDATA_6F0.DAT
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\~PST3023.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\~WRF0004.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\TEMP\~WRF0873.TMP
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\SHAREAZA\INCOMPLETE\LLMF5P56KIK4ATXXRJK53TV66PNRYJLA RAM (http://www.computerhilfen.de/fachbegriffe-r-RAM.html) JAM - BLACK BETTY.MPG
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y0CB0406.DEFAULT\CACHE\_CACHE_001_
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y0CB0406.DEFAULT\CACHE\_CACHE_002_
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y0CB0406.DEFAULT\CACHE\_CACHE_003_
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\programme\Datenrettung\Sonic[1] Backup (http://www.computerhilfen.de/fachbegriffe-b-Backup.html) Mypc Deluxe v6.0 Multilanguage Incl Keygen-Ssg(1).zip\readme.html
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\programme\Bildbearbeitung\screenshot\hc.exe\swsetup.in_\swsetup
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\NERO\XP126A.NRG
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Markt & Technik\Buchdaten\Tools\HardCopy\hc.exe\swsetup.in_\swsetup
C:\Dokumente und Einstellungen\Marko\Eigene Dateien\Markt & Technik\Buchdaten\Tools\HardCopy\hc.exe\swsetup.ex_\swsetup
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) 135974607 (WIN-INI)\C64 SPIELE\VERMEER\VERMEER.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) 135974607 (WIN-INI)\C64 SPIELE\THE_TRAIN_ESCAPE_TO_NORMANDY\THE_TRAIN_ESCAPE_TO_NORMANDY.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) 135974607 (WIN-INI)\C64 SPIELE\SPACE TAXI\SPACE_TAXI.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) 135974607 (WIN-INI)\C64 SPIELE\LAW_OF_THE_WEST\LOTW-1.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) 135974607 (WIN-INI)\C64 SPIELE\LAW_OF_THE_WEST\LOTW-2.D64
C:\DOKUMENTE UND EINSTELLUNGEN\MARKO\EIGENE DATEIEN\FUN-ORDNER\FUN AN @ DISASTER AREA C 413 - ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) 135974607 (WIN-INI)\C64 SPIELE\INTERNATIONAL_K.MP3ü�Þ�i�C
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure Libra: 2.4.2, 2006-11-10
F-Secure AVP: 7.0.171, 2006-11-10
F-Secure Orion: 1.2.37, 2006-11-10
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Draco: 1.0.35, 0260-02-44
F-Secure Pegasus: 1.19.0, 2006-08-29
Scanning options:
Scan all files
Scan inside archives
Use Advanced heuristics
-
Na also,
hier ist wie vermutet das Rootkit:
Stealth_file (hidden item)
C:\WINDOWS\system32\kduks.exe (Submitted)
Lass noch mal das Tool BlackLight über den PC laufen, sofern dies noch nicht passiert ist.
Wichtig!
Findet er was, dann drücke im Anschluss den Button “Renamed“ damit die Datei unbenannt wird. Danach Boote den PC sofort und scanne mit AVG Anti-Spyware im abgesicherten Modus den PC zum letzten mal.
-
... um den Scan mit AVG Anti-Spyware abzukürzen,
scanne nur den Speicher, die Regiestry und das Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) C:\Windows
mit allen Unterverzeichnise.
-
so - ich glaube, jetzt von dem plagegeist befreit zu sein.
vielen vielen dank für die hilfe!!!
aber wie kann ich mich in zukunft davor schützen?
-
Erst mal, es gibt keine hundertprozentigen Schutz vor Malware!
Die kostenlose Version von AntiVir hat aus heutiger Sicht zwei entscheidende Nachteile:
1. Kein automatische Updates
2. Keine Erkennung von Ad- und Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html)
Den ersten Punkt kann der User durch tägliches manuelles Updaten ausgleichen
Nur so kann AntiVir gut vor neuen Bedrohungen schützen. Dies z.B. nur alle 14 Tage auszuüben, ist sehr fahrlässig.
Bei den zweiten Punkt hilft eigentlich nur die Kaufversion von AntiVir zu erwerben.
Sie Schützt zusätzlich vor Ad- und Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) und besorgt sich automatisch rund um Uhr die neusten Signaturupdates. Der gute sorglos Schutz kostet im Jahr ca. 20 Euro,
ich meine das diese Investition gut angelegt ist.
Hier gibt es Info dazu:
http://www.avira.com/de/produkte/antivir_personaledition_premium.html
oder
http://www.amazon.de/S-A-D-AntiVir-PersonalEdition-Premium-7/dp/3938702699/ref=br_lf_m_2/303-9470536-2426632?ie=UTF8&s=software
Selbstverständlich bieten auch andere Kaufversionen verschiedener Antivirusprogramme einen guten Schutz. Hin wieder verteilen die Hersteller ihre Kaufversionen auch kostenlos.
Aktuell und sehr Empfehlenswert sind hier:
Eine Jahreslizenz von Kaspersky AntiVirus 5.0 gibt es auf der Heft-CD der Computerbildausgabe für 2,30 Euro.
Wichtig: Nach der Installation muss noch die Ad- und Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) Erkennung aktiviert werden.
Bei der aktuellen Fachzeitschrift Chip liegt F-Secure 2006 bei, mit einer Lizenz noch für 8 Monate. In beiden fällen ist eine Registrierung notwendig
An deiner Stelle würde zwei Dinge bei den Anwendungen umgehen ändern, nämlich den Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) und das E-Mailprogramm.
Bei den Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) installiere Firefox (http://www.computerhilfen.de/firefox-download.html) 2.0
http://www.mozilla-europe.org/de/products/firefox/
auch wenn du vernünftigerweise schon den Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 auf dem PC hast.
Noch wichtiger ist das E-Mailprogramm!
Installiere dringend Thunderbird 1.5.0.8
http://www.mozilla-europe.org/de/products/thunderbird/
und verges Outlook Express.
Hier ein paar allgemeine Tipps:
Regelmäßig Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) und den IE updaten, am zweiten Dienstag eines Monats veröffentlich Microsoft in der Regel Sicherheitsupdates. Der nächste Termin ist also der kommende Dienstag. Am Besten die automatische Updatefunktion von Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) aktivieren!
Java würde sich auch auf das aktuelle Updates freuen.
Java Runtime Environment (JRE) 5.0 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 9
http://java.sun.com/javase/downloads/index.jsp
Prüfe auch ob der Macromedia Flash Player aktuell ist:
Version 9,0,16,0
http://www.adobe.com/go/getflashplayer
Grundsätzlich gilt das jede installierte Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) regelmäßig auf Sicherheitsupdates hin überprüft werden sollte. Da bildet das Officeprogramm, Adobe Reader, Messenger sowie jede andere Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) keine Ausnahme.
Updates sind angesagt !
Hier eine Liste von aktuellen Programm Versionen, ohne Gewähr:
Yahoo! Messenger 8.1.0.195
http://de.downloads.yahoo.com/internetexplorer/index.php
Windows Live Messenger 8.0.0812
http://www.msn.de/wlm/computerbase/default.asp
Adobe Reader 7.0.8
http://www.adobe.com/de/products/acrobat/readstep2.html
Ohne Adobe Yahoo!-Leiste und Adobe Photoshop Album Starte herunterladen !
QuickTime (http://www.computerhilfen.de/fachbegriffe-q-Quicktime.html) 7.1.3 für Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) 2000/XP
http://www.apple.com/de/quicktime/download/standalone.html
-
Habe ebenfalls das Problem mit der Falschen Weiterleitung. Und auch das Problem, das ich weder die Hijack-Auswertung benutzen kann und bei z.B. gmx immer wieder die sichere Verbindung getrennt wird, sobald ich Dateien in den Anhang legen will.
Hijacklog:
Logfile of Trend Micro HijackThis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) v2.0.2
Scan saved at 14:23:34, on 06.09.2008
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Vista (WinNT 6.00.1904)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\ASUS Direct Console\LCMP.exe
C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\UseNeXT\UseNeXT.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQ (http://www.computerhilfen.de/fachbegriffe-i-ICQ.html) Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DirectMessenger] "C:\Program Files\ASUS\ASUS Direct Console\LCMP.EXE"
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\GetFlash.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\GetFlash.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MultiFrame.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Eset HTTP (http://www.computerhilfen.de/fachbegriffe-h-HTTP.html) Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Firebird Server (http://www.computerhilfen.de/fachbegriffe-s-Server.html) - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkSrv.exe
O23 - Service: TeamViewer 3 (TeamViewer) - Unknown owner - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
--
End of file - 8525 bytes
Bitte um Hilfe.
-
Könnt ihr bitte mal meine Log-File analysieren und mir sagen was zu tun ist?
Logfile of Trend Micro HijackThis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) v2.0.2
Scan saved at 10:36:31, on 18.09.2008
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
E:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Programme\Babylon\Babylon-Pro\Babylon.exe
E:\Programme\Steganos Safe 2008\SteganosHotKeyService.exe
E:\Programme\Steganos Safe 2008\fredirstarter.exe
E:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\DrvMon.exe
E:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Utility\DWLGTI.EXE
E:\Programme\Logitech\SetPoint\SetPoint.exe
E:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\WebDrive\wdService.exe
E:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Skype\Plugin Manager\skypePM.exe
E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\Programme\Miranda IM\miranda32.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
O2 - BHO: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Version Cue CS2] E:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) Abstraction Layer] "E:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware (http://www.computerhilfen.de/fachbegriffe-h-Hardware.html) Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "E:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [CanonMyPrinter] E:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [WebDriveTray] E:\Programme\WebDrive\webdrive.exe /trayicon
O4 - HKLM\..\Run: [Babylon Client] E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [SAFE2008 HotKeys] "E:\Programme\Steganos Safe 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SAFE2008 File Redirection Starter] "E:\Programme\Steganos Safe 2008\fredirstarter.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spark] E:\Programme\Spark\Spark.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - Global Startup: Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) - Schnellstart.lnk = ?
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter (http://www.computerhilfen.de/fachbegriffe-a-Adapter.html) Utility\DWLGTI.EXE
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Adobe Acrobat (http://www.computerhilfen.de/fachbegriffe-a-Acrobat.html) 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - E:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Mobile Device - Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Inc. - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: WebDrive Service (WebDriveService) - South River Technologies, LLC - E:\Programme\WebDrive\wdService.exe
--
End of file - 9975 bytes