Hilfe bei Schädlingsbefall -ARCHIV-

[For]Hood2 · 02.11.2005

Sieht auch nach Look2me aus.
So dele nun das als erster Schritt gegen L2me
Download L2mfix from one of these two locations:

http://www.atribune.org/downloads/l2mfix.exe
You have the latest version of VX2. Download L2mfix from one of these two locations:

http://www.atribune.org/downloads/l2mfix.exe
http://www.downloads.subratam.org/l2mfix.exe

Save the file to your desktop and double click l2mfix.exe. Click the Install button to extract the files and follow the prompts, then open the newly added l2mfix folder on your desktop. Double click l2mfix.bat and select option #1 for Run Find Log by typing 1 and then pressing enter. This will scan your computer and it may appear nothing is happening, then, after a minute or 2, notepad will open with a log. Copy the contents of that log and paste it into this thread.

IMPORTANT: Do NOT run option #2 OR any other files in the l2mfix folder until you are asked to do so!

ShEeP)G(2 · 02.11.2005

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\policies]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\hr0405dqe.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{1E60259B-3873-B85A-E89E-C4A7597231D6}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{A70C977A-BF00-412C-90B7-034C51DA2439}"="NvCpl DesktopContext Class"
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}"="Play on my TV helper"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu"
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 Context Menu Shell Extension"
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 DragDrop Shell Extension"
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 Context Menu Shell Extension"
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.6 Property Sheet Shell Extension"
"{1E19FF49-EC61-4AFC-8033-1FB6F643AD96}"=""
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{1E19FF49-EC61-4AFC-8033-1FB6F643AD96}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1E19FF49-EC61-4AFC-8033-1FB6F643AD96}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1E19FF49-EC61-4AFC-8033-1FB6F643AD96}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1E19FF49-EC61-4AFC-8033-1FB6F643AD96}\InprocServer32]
@="C:\\WINDOWS\\system32\\ruvpmsg.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
alsmsext.dll Mon 24 Oct 2005 10:28:14 ..S.R 237.188 231,63 K
browseui.dll Sat 3 Sep 2005 0:53:20 A.... 1.019.904 996,00 K
cdfview.dll Sat 3 Sep 2005 0:53:20 A.... 152.064 148,50 K
cdosys.dll Sat 10 Sep 2005 2:54:28 A.... 2.067.968 1,97 M
cmdlin~1.dll Sat 29 Oct 2005 15:19:50 A.... 43.520 42,50 K
d6j00g~1.dll Sat 29 Oct 2005 1:05:22 ..S.R 234.235 228,74 K
d8j0li~1.dll Tue 1 Nov 2005 10:56:00 ..S.R 236.381 230,84 K
danim.dll Sat 3 Sep 2005 0:53:20 A.... 1.055.744 1,00 M
dn2q01~1.dll Sun 23 Oct 2005 12:18:36 ..S.R 237.248 231,69 K
dxtrans.dll Sat 3 Sep 2005 0:53:22 A.... 205.312 200,50 K
dyd9.dll Wed 26 Oct 2005 20:56:20 ..S.R 235.630 230,11 K
eaent.dll Fri 28 Oct 2005 9:00:22 ..S.R 234.235 228,74 K
ees.dll Tue 1 Nov 2005 20:27:10 ..S.R 236.099 230,56 K
extmgr.dll Sat 3 Sep 2005 0:53:22 ..... 55.808 54,50 K
hr0405~1.dll Wed 2 Nov 2005 16:54:34 ..S.R 236.914 231,36 K
iafgnt5.dll Sat 29 Oct 2005 18:16:08 ..S.R 236.682 231,13 K
icuv_32.dll Mon 31 Oct 2005 8:19:26 ..S.R 234.149 228,66 K
iepeers.dll Sat 3 Sep 2005 0:53:22 A.... 251.392 245,50 K
ikmon.dll Sun 30 Oct 2005 17:21:18 ..S.R 235.908 230,38 K
inseng.dll Sat 3 Sep 2005 0:53:22 A.... 96.768 94,50 K
izetppui.dll Thu 27 Oct 2005 9:04:06 ..S.R 234.235 228,74 K
kidusl.dll Wed 26 Oct 2005 0:35:06 ..S.R 233.750 228,27 K
kjdusr.dll Thu 27 Oct 2005 22:33:04 ..S.R 235.630 230,11 K
ktp6l7~1.dll Wed 2 Nov 2005 19:02:38 ..S.R 236.099 230,56 K
kwdno.dll Tue 25 Oct 2005 13:42:54 ..S.R 237.188 231,63 K
legitc~1.dll Mon 29 Aug 2005 12:27:12 A.... 520.968 508,76 K
linkinfo.dll Thu 1 Sep 2005 2:44:42 A.... 19.968 19,50 K
mcjint40.dll Tue 25 Oct 2005 20:50:00 ..S.R 233.750 228,27 K
mdhtmler.dll Sun 30 Oct 2005 14:17:34 ..S.R 235.908 230,38 K
mfxml3r.dll Sun 23 Oct 2005 10:21:36 ..S.R 237.248 231,69 K
mlc40.dll Mon 31 Oct 2005 14:35:50 ..S.R 235.908 230,38 K
mnwmdm.dll Sun 23 Oct 2005 17:19:20 ..S.R 233.750 228,27 K
moc40loc.dll Sat 29 Oct 2005 10:24:22 ..S.R 235.630 230,11 K
mpxml3r.dll Tue 1 Nov 2005 20:23:20 ..S.R 235.908 230,38 K
mqsystem.dll Tue 25 Oct 2005 19:12:16 ..S.R 233.750 228,27 K
mshtml.dll Tue 4 Oct 2005 17:26:02 A.... 3.013.120 2,87 M
mshtmled.dll Sat 3 Sep 2005 0:53:22 A.... 448.512 438,00 K
msrating.dll Sat 3 Sep 2005 0:53:22 A.... 146.432 143,00 K
mstime.dll Sat 3 Sep 2005 0:53:22 A.... 530.432 518,00 K
mwidle.dll Tue 1 Nov 2005 10:54:00 ..S.R 236.381 230,84 K
netman.dll Mon 22 Aug 2005 19:31:48 A.... 197.632 193,00 K
nicpl.dll Sat 29 Oct 2005 16:58:28 ..S.R 235.630 230,11 K
npmsdba.dll Sat 22 Oct 2005 10:27:38 ..S.R 237.188 231,63 K
nvtui1.dll Fri 21 Oct 2005 9:44:40 ..S.R 237.188 231,63 K
o266lc~1.dll Tue 25 Oct 2005 19:12:16 ..S.R 235.412 229,89 K
p0n8la~1.dll Wed 26 Oct 2005 13:27:34 ..S.R 235.396 229,88 K
pngfilt.dll Sat 3 Sep 2005 0:53:22 A.... 39.424 38,50 K
px.dll Wed 14 Sep 2005 20:17:44 ..... 462.848 452,00 K
pxdrv.dll Wed 14 Sep 2005 20:17:44 ..... 319.488 312,00 K
pxmas.dll Wed 14 Sep 2005 20:17:44 ..... 143.360 140,00 K
pxwave.dll Wed 14 Sep 2005 20:17:44 ..... 286.720 280,00 K
quartz.dll Tue 30 Aug 2005 4:55:36 A.... 1.292.800 1,23 M
qzgrprxy.dll Wed 26 Oct 2005 10:30:32 ..S.R 235.396 229,88 K
ruvpmsg.dll Wed 2 Nov 2005 20:29:58 ..... 236.914 231,36 K
shdocvw.dll Sat 3 Sep 2005 0:53:22 A.... 1.484.288 1,41 M
shell32.dll Fri 23 Sep 2005 4:06:22 A.... 8.491.520 8,10 M
shlwapi.dll Sat 3 Sep 2005 0:53:22 A.... 474.112 463,00 K
sihedsvc.dll Sun 23 Oct 2005 12:19:16 ..S.R 237.188 231,63 K
sirenacm.dll Mon 19 Sep 2005 6:00:34 A.... 119.856 117,05 K
smmsg.dll Thu 20 Oct 2005 14:31:50 ..S.R 235.697 230,17 K
sudoclc.dll Fri 21 Oct 2005 15:37:04 ..S.R 235.697 230,17 K
ucrcoina.dll Tue 25 Oct 2005 9:36:46 ..S.R 233.750 228,27 K
udbmon.dll Sun 30 Oct 2005 9:14:28 ..S.R 235.630 230,11 K
ulerenv.dll Sun 23 Oct 2005 16:12:48 ..S.R 237.188 231,63 K
umpnpmgr.dll Tue 23 Aug 2005 4:39:58 A.... 124.416 121,50 K
urlmon.dll Sat 3 Sep 2005 0:53:22 A.... 605.696 591,50 K
uzrcoina.dll Wed 26 Oct 2005 0:31:50 ..S.R 234.911 229,40 K
vjs_ps.dll Wed 26 Oct 2005 13:30:34 ..S.R 235.630 230,11 K
vsdata.dll Mon 29 Aug 2005 18:08:34 A.... 83.712 81,75 K
vsinit.dll Mon 29 Aug 2005 18:08:46 A.... 141.056 137,75 K
vsmonapi.dll Mon 29 Aug 2005 18:08:54 A.... 104.192 101,75 K
vspubapi.dll Mon 29 Aug 2005 18:08:58 A.... 227.072 221,75 K
vsregexp.dll Mon 29 Aug 2005 18:09:02 A.... 71.424 69,75 K
vsutil.dll Mon 29 Aug 2005 18:09:14 A.... 382.720 373,75 K
vsutil~1.dll Mon 29 Aug 2005 17:52:14 A.... 54.960 53,67 K
vsxml.dll Mon 29 Aug 2005 18:09:22 A.... 100.096 97,75 K
vxblock.dll Wed 14 Sep 2005 20:17:44 ..... 28.672 28,00 K
wa2_32.dll Sun 30 Oct 2005 14:55:38 ..S.R 235.630 230,11 K
wininet.dll Sat 3 Sep 2005 0:53:22 A.... 664.064 648,50 K
winsrv.dll Thu 1 Sep 2005 2:44:44 A.... 292.352 285,50 K
wwaueng.dll Tue 1 Nov 2005 10:56:58 ..S.R 235.908 230,38 K
zlcomm.dll Mon 29 Aug 2005 18:09:42 A.... 79.616 77,75 K
zlcommdb.dll Mon 29 Aug 2005 18:09:46 A.... 71.424 69,75 K

83 items found: 83 files (41 H/S), 0 directories.
Total of file sizes: 35.871.589 bytes 34,21 M
Locate .tmp files:

C:\WINDOWS\SYSTEM32\
guard.tmp Wed 2 Nov 2005 20:32:58 ..S.R 236.914 231,36 K

1 item found: 1 file (1 H/S), 0 directories.
Total of file sizes: 236.914 bytes 231,36 K
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C880-7F96

Verzeichnis von C:\WINDOWS\System32

02.11.2005 20:32 236.914 guard.tmp
02.11.2005 19:02 236.099 ktp6l77s1.dll
02.11.2005 16:54 236.914 hr0405dqe.dll
02.11.2005 12:02 <DIR> dllcache
01.11.2005 20:27 236.099 ees.dll
01.11.2005 20:23 235.908 mpxml3r.dll
01.11.2005 10:56 235.908 wwaueng.dll
01.11.2005 10:55 236.381 d8j0li1m18.dll
01.11.2005 10:53 236.381 mwidle.dll
31.10.2005 14:35 235.908 mlc40.dll
31.10.2005 08:19 234.149 icuv_32.dll
30.10.2005 17:21 235.908 ikmon.dll
30.10.2005 14:55 235.630 wa2_32.dll
30.10.2005 14:17 235.908 mdhtmler.dll
30.10.2005 09:14 235.630 udbmon.dll
29.10.2005 18:16 236.682 iafgnt5.dll
29.10.2005 16:58 235.630 nicpl.dll
29.10.2005 10:24 235.630 moc40loc.dll
29.10.2005 01:05 234.235 d6j00g1me6.dll
28.10.2005 09:00 234.235 eaent.dll
27.10.2005 22:33 235.630 kjdusr.dll
27.10.2005 09:04 234.235 izetppui.dll
26.10.2005 20:56 235.630 dYd9.dll
26.10.2005 13:30 235.630 vjs_ps.dll
26.10.2005 13:27 235.396 p0n8la5u1d.dll
26.10.2005 10:30 235.396 qzgrprxy.dll
26.10.2005 00:35 233.750 kidusl.dll
26.10.2005 00:31 234.911 uzrcoina.dll
25.10.2005 20:49 233.750 mcjint40.dll
25.10.2005 19:12 233.750 mqsystem.dll
25.10.2005 19:12 235.412 o266lcjs1fo6.dll
25.10.2005 13:42 237.188 kwdno.dll
25.10.2005 09:36 233.750 ucrcoina.dll
24.10.2005 10:28 237.188 alsmsext.dll
23.10.2005 17:19 233.750 mnwmdm.dll
23.10.2005 16:12 237.188 ulerenv.dll
23.10.2005 12:19 237.188 sihedsvc.dll
23.10.2005 12:18 237.248 dn2q01f5e.dll
23.10.2005 10:21 237.248 mfxml3r.dll
22.10.2005 10:27 237.188 npmsdba.dll
21.10.2005 15:37 235.697 sudoclc.dll
21.10.2005 09:44 237.188 nvtui1.dll
20.10.2005 14:31 235.697 smmsg.dll
19.10.2005 11:02 <DIR> Microsoft
42 Datei(en) 9.900.157 Bytes
2 Verzeichnis(se), 23.656.292.352 Bytes frei

[For]Hood2 · 02.11.2005

Man Du hast Geduld seit dem 20.10 infiziert :ugly:

Nunja

Du scheinst die neuste variante auf deinem PC zu haben.

Spysweeper ist auch in der trial version in der lage Ihn zu entfernen.

http://www.webroot.com/consumer/downloads/?WRSID=906ca2cdb2e598bd32bd4f0366566fe1

Downloaden, updaten, dann auf Options, sweep option, unten bei what to sweep alle anhaken, bei sweep all folders on selected drives Deine HDs anklicken und dann scannen lassen. Spysweeper muss einen neustart machen um L2m zu entfernen. Du must sofort neustarten, sofort.

und als letztes:
Close any programs you have open since this step requires a reboot.

From the l2mfix folder on your desktop, double click l2mfix.bat and select option #2 for Run Fix by typing 2 and then pressing enter, then press any key to reboot your computer. After a reboot, your desktop and icons will appear, then disappear (this is normal). L2mfix will continue to scan your computer and when it's finished, notepad will open with a log. Copy the contents of that log and paste it back into this thread, along with a new hijackthis log.

IMPORTANT: Do NOT run any other files in the l2mfix folder unless you are asked to do so!
If after the reboot the desktop icons dont dissappear or the log does not pop up then in the l2mfix folder double click the second.bat file to continue with the fix.

Bitte das log von option2 posten zum checken und danach solltest Du sauber sein.

ShEeP)G(2 · 02.11.2005

muss ich nun spy sweeper UND l2fix oder blubb laufen lassen ?? weil das englisch da suggt gerade bei mir ^^

[For]Hood2 · 02.11.2005

Du must beides laufen lassen. Spysweeper entfernt den Trojaner und L2mfix repariert deine registry.

Wichtig ist das Du die einstellungen bei spysweeper vornimmst:
unten bei what to sweep alle anhaken, bei sweep all folders on selected drives Deine HDs anklicken und dann scannen lassen. Spysweeper muss einen neustart machen um L2m zu entfernen. Du must sofort neustarten, sofort.

Splinter2 · 03.11.2005

seit ich sp1 installiert habe krieg ich kurz nach dem hochfahren immer diese meldung von lsass.exe das mein pc runtergefahren wird. ihr wisst schon diese meldung die man mit shutdown -a "verhindert"

das war doch dieser sasser wurm wenn ich mich recht erinnere?
habe schon diverse scans laufen lassen unter anderem auch dieses removal tool http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html (is das das richtige?)
aber weder das removal tool hat was gefunden noch spybot, antivir und co

hier nochmal nen hijackthislog

"
Logfile of HijackThis v1.99.1
Scan saved at 13:35:06, on 03.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
E:\Programme\Miranda\miranda32.exe
E:\Programme\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Arne\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {053089C0-8B11-4F40-9911-F8726AC19168} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {053089C0-8B11-4F40-9911-F8726AC19168} - E:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/abarth/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6739503C-3DC5-405E-8CFF-45EF6105C3D6}: NameServer = 217.237.150.141 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\PROGRAMME\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: DirectUpdate engine (DirectUpdate) - http://www.directupdate.net/ - E:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
"

cart · 03.11.2005

Du solltest schon die aktuellste Version deines Betriebsystems haben. In deinem Fall wäre das wohl XP-SP2 + alle nachfolgenden Patches+Fixes.

Splinter2 · 03.11.2005

ich will aber kein sp2 :8[:

cart · 03.11.2005

Wenn du nicht die aktuellste Version von einer Software benutzt, kann man auch Bugs nicht beseitigen, die ggf. dadurch entstehen, dass du sie nicht nutzt.

Splinter2 · 03.11.2005

jaja überredet^^
ich meld mich wenns installiert is und das problem immer noch besteht

Mallimania · 05.11.2005

here we gooo

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Power Management\PwrGui.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://211.7.252.127:83/kxhcm10.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/139095c3f8ae1e74a106/netzip/RdxIE601_de.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1103373733874
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123188317619
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9BF607E0-4CC1-4099-9A07-362C9E4FB090} (WStarter Control) - http://live.pdbox.co.kr:8057/WStarter.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{705D8091-79B1-43A3-98B5-ACF4FB0E684A}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

20Rine05 · 08.11.2005

Original geschrieben von AdMiRaL]A[-ScT-
Spy Sweeper tool rockt muss ich sagen
die trial version hat mein problem gelöst !!

# 2

( Kann man diesen Assikidprogern nicht einfah die Hände abhacken , damit die NIE wieder sone Viren, Spyware, Scheisse ,etc progen??? :mad:

)

[For]Hood2 · 08.11.2005

@Mallüüü sorry habe das post übersehen, was für ein Problem hast mit deinem PC?

In Deinem Log kann ich nichts sehen, sieht gut aus.

IPSZeRo · 13.11.2005

Hi
Da ich heute Probleme mit Windows hatte und die widerherstellung benutzen musste, wüsste ich mal gerne ob mein PC von Viren befallen ist oder nicht.

Logfile of HijackThis v1.99.1
Scan saved at 13:40:32, on 13.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\MDM.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetLimiter] F:\netlimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1105034210753
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

[For]Hood2 · 14.11.2005

Im HijackThis log ist nichts zusehen. Mach mal den Bitdefender onlinescan und poste das Log hier.

[For]Hood2 · 14.11.2005

Philosophaster mach das ganze mal mit Killbox im abgesicherten modus

Philosophaster · 15.11.2005

auch im abgesicherten Modus lässt sich KillBox.exe nicht öffnen... kommen zwei Fehler-Töne hintereinander kurz nach dem Doppelklick, mehr aber auch nicht.

[For]Hood2 · 15.11.2005

Rename die Killbox.exe nach Kickbox.exe und versuchs nochmal.

Gehts immer noch nicht versuch mal die Dateien per Hand im abgesicherten Modus zu löschen.

C:\WINDOWS\System32\avpx32.dll
C:\WINDOWS\System32\avpx32.sys
C:\WINDOWS\System32\avpx64.sys
C:\WINDOWS\System32\p3.ini
C:\WINDOWS\System32\qy.sys
C:\WINDOWS\System32\qz.dll
C:\WINDOWS\System32\qz.sys

Quint · 15.11.2005

Hi,

seit einiger Zeit werden bestimmte Schlagwörter/Marken à la "Internet" oder "Nintendo" bei Mozilla immer grün unterlegt bzw es wird ein Link daraus gemacht. Dazu kommt noch, dass Seiten langsamer laden und z.B. "warten auf ingame.intellitext.com" unten erscheint, was ich gerne abstellen würde.

2k, Kerio FW, alle Updates für Windows/Mozilla

HJT sagt folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 23:04:20, on 15.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\WinPoET Broadband Connection\WrOS.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Winamp\winamp.exe
C:\Unzipped\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [z-wrdialer] "C:\Programme\WinPoET Broadband Connection\wrdialer.exe"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124145303807
O17 - HKLM\System\CCS\Services\Tcpip\..\{94B7019E-6520-49F9-BF81-BB1980A1F292}: NameServer = 212.114.152.1 212.114.153.1
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE

Danke im Vorraus.

[For]Hood2 · 15.11.2005

Auf jeder Seite? Dann downloade Escan http://www.mwti.net/antivirus/free_utilities.asp

Mache einen Haken bei Drives+all Drives und dann auf start.

Su siehst 2 Fenster, Was er findet steht im unteren, alles markieren und hier rein posten. (strg+c/strg+v)
Bitte alle Zeilen entfernen die NICHT mit File anfangen.

XFreeX · 15.11.2005

Original geschrieben von Quint
seit einiger Zeit werden bestimmte Schlagwörter/Marken à la "Internet" oder "Nintendo" bei Mozilla immer grün unterlegt bzw es wird ein Link daraus gemacht. Dazu kommt noch, dass Seiten langsamer laden und z.B. "warten auf ingame.intellitext.com"

Diese unangenehme Art der Werbung wirst du mit dem Adblock-Plugin für Mozilla los. Einfach *intellitext* auf die Blacklist setzen.

Gruß,
Stefan

Philosophaster · 16.11.2005

Original geschrieben von [For]Hood
Rename die Killbox.exe nach Kickbox.exe und versuchs nochmal.

Gehts immer noch nicht versuch mal die Dateien per Hand im abgesicherten Modus zu löschen.

C:\WINDOWS\System32\avpx32.dll
C:\WINDOWS\System32\avpx32.sys
C:\WINDOWS\System32\avpx64.sys
C:\WINDOWS\System32\p3.ini
C:\WINDOWS\System32\qy.sys
C:\WINDOWS\System32\qz.dll
C:\WINDOWS\System32\qz.sys

Das würde ich sehr gern. Umbenannt ist es im Abgesicherten Modus auch nicht möglich (zugriff wurde verweigert). Dies gilt auch für den Versuch des manuellen Löschens, wobei anzumerken ist, dass ich lediglich avpx32.dll und avpx64.sys sehen konnte, wovon ich auch nur letzteres löschen konnte.
Was nun? :cry:

Was tun?

TotalCommander machts auch nicht, auf NortonSystemWorks und dessen LöschProgramm kann ich nicht zugreifen, weil ich die Image nicht einbinden kann, weil der ganze Schlammassel mein Alkohol120% außer Betrieb gesetzt hat.... Das birgt für mich übrigens immer mehr Probleme... :sonot:

[For]Hood2 · 16.11.2005

Du kannst Killbox selbst nach dem umbenennen nicht starten???

Hast Du eine XP oder Win2k CD?

Philosophaster · 17.11.2005

Original geschrieben von [For]Hood
Hast Du eine XP oder Win2k CD?

mir schwant Übeles! spielst Du auf eine Neuinstallation an? Das wäre mein Ende! Und das, obwohl ich eine XP(SP1)-CD hab.

[For]Hood2 · 17.11.2005

Nein, dann hätte ich gesagt installier neu. So schnell gebe ich nicht auf.

Aber Du hast meine andere Frage noch nicht beantwortet.

Quint · 17.11.2005

Hood und Free, ich danke euch wieder einmal für euer Wissen und Hilfe. Ohne euch hätte die Page wohl ~30k Hits weniger, allein deshalb weil die bw.de User nichtmehr ins Inet kommen t.t

Nochmal thx

Philosophaster · 17.11.2005

Original geschrieben von [For]Hood
Aber Du hast meine andere Frage noch nicht beantwortet.

Original geschrieben von Philosophaster
Das würde ich sehr gern. Umbenannt ist es im Abgesicherten Modus auch nicht möglich (zugriff wurde verweigert). Dies gilt auch für den Versuch des manuellen Löschens,...

Naja... und ne XP-CD (SP1) hab ich. Win-2k-CD könnt ich mir besorgen, wenn nötig.

[For]Hood2 · 18.11.2005

jetzt nochmal langsam zu bekommst einen "zugriff verweigert" wenn Du versuchst Killbox.exe umzubennen?

Philosophaster · 18.11.2005

lol nein, ich habs umbenannt. aber es ist immer noch nicht möglich (hier

KickBox.exe zu öffnen. Wenn ich das nämlich im Abgesicherten Modus mache, krieg ich zwei aufeinander folgende Fehlertöne (old-school-bios).

[For]Hood2 · 18.11.2005

Dein System ist irgendwie merkwürdig. OK mal sehen.

Mach mal Deine XP CD ins Lw und boote von der. Dann wählst Du nicht neuinstallieren sondern reparatur aus. Boote in die Reparaturkonsole.
in der Konsole wähle Dein Windows aus (meist 1) und drücke Enter für das Administratorkennwort oder gebe es ein wenn DU eins hast.

Am Commandprompt gebe die folgenden Befehle ein. <enter> steht für das drücken der Enter/return taste.

Cd c:\windows\system32 <enter>
del C:\WINDOWS\System32\avpx32.dll <enter>
del C:\WINDOWS\System32\avpx32.sys <enter>
del C:\WINDOWS\System32\avpx64.sys <enter>
del C:\WINDOWS\System32\p3.ini <enter>
del C:\WINDOWS\System32\qy.sys <enter>
del C:\WINDOWS\System32\qz.dll <enter>
del C:\WINDOWS\System32\qz.sys <enter>
Tippe exit um neuzustarten.

Entferne die CD und poste nach dem booten ein neues HijackThis log.

Philosophaster · 19.11.2005

k... hat sich erledigt...
hab den Backdoor.Haxdoor.E auf dem System, einen sehr gefährlichen Trojaner mit Backdoor-Eigenschaften. Er stellt alle möglichen AV-Programme ausser Betrieb. Dieser Trojaner speichert Tastenfolgen, stiehlt Passworte und "tropft" Rootkits in das System, die auch im abgesicherten Modus laufen.

Ich muss alle Passworte ändern und bei meinem Rechner entweder das Format ändern, also wenn fat32 verwendet wird, dann auf ntfs, und wurde ntfs verwendet, dann zuerst auf fat32 und dann nochmals auf ntfs umformatieren. Oder Secure Eraser -> um die Festplatte mehrfach zu löschen, bevor ich das neue System aufsetze!

-----------------
$hit|happen$

[For]Hood2 · 19.11.2005

Ach was. Was meinst Du warum Du diese Dateien löschen sollst? Und warum Du diese über die Console löschen sollst?
WEIL ES SO NICHT GEHT wie es hier http://forum.hijackthis.de/showthread.php?t=11181&highlight=Philosophaster vorgegeben ist. Haxdoor schreibt die Registrywerte sofort wieder rein solange die Dateien noch auf dem Rechner sind.

Richtig zum kotzen finde ich das Du die Ressourcen von mehreren Foren gleichzeitig für das selbe Problem nutzt.

Du hast dir Karre in den Dreck gefahren, sieh zu wie Du sie wieder raus bekommst. Hier erhälst Du von mir keine Hilfe mehr.

Btw Wer online Banking machen will, obwohl er weiss das er einen Trojaner drauf hat dem ist nicht mehr zu helfen.

Viel Spass beim neuinstallieren.

Philosophaster · 20.11.2005

k.... i only underst00d railr0ad....
u > me

thx

Benrath · 20.11.2005

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Max\Eigene Dateien\plugin\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

hab ich da irgendwas ?

[For]Hood2 · 20.11.2005

Original geschrieben von Philosophaster
k.... i only underst00d railr0ad....
u > me

thx

Was verstehst Du nicht? Du hast anscheinend zu wenig Vertrauen zu mir das Du mir keine Chance gibst Dein System zu reinigen. Du läßt Ruby&Co dazu am selben Problem arbeiten an dem ich arbeite. Die beiden hätten auch einen anderen User in der Zeit helfen können. Die bekommen auch kein Geld dafür. Du erwähnst nicht mal das Du in ein anderen Forum schon Hilfe erhalten hast. Das regt mich auf.

Dazu der Hinweis auf hijackthis.de den Du ja dann auch noch rauseditiert hast. Geh Dir da hilfe holen. Ich seh schon Ruby macht das schon... lol.

@Benrath[BN] Nichts zu sehen, hast Du irgendwelche Probleme? Nicht alles wird im Hijackthis log angezeigt.

Philosophaster · 21.11.2005

Du hast Recht. Sry für mein Verhalten. Danke für die aufgebrachte Mühe.

Benrath · 21.11.2005

mein pc lahmt wieder mal ... befürchte meine festplatte spackt

wollte mit jetzt mal drive fitness test besorgen für ne toshiba platte

um es ein bischen zu konkretisieren: hab allers formatiert und 3 patitionen gemacht hab dann aus versehen in D: windowas instaliert , nachdem ich noch paar andere sachen installiert hab ich unter anderem limwire installiert und paar tv folgen gezogen war weg, kam nach hause und mein pc hing im windows start modus fest und ich konnte gar nicht merh machen ... wieder neuinstalliert und konnte dann teilweise kaum mehr daten von D: nach C: verschieben etc ...

[For]Hood2 · 22.11.2005

Mach erstmal den HD check wenns dann immer noch nicht besser wird oder der Fehler da nicht liegt kommst wieder.

Habicht · 22.11.2005

Ich hätte noch gerne einiges zu den grün unterstrichenen, verlinkten Worten in Mozilla gewusst:
habe genau dieses Phänomen seit kurzem auch, ist mir aber erst mit meinem neuen BS XP untergekommen, in Win98 ist das nicht passiert.
Kann ich diese Werbung nicht irgendwie anders entfernen, ich muss sie
mir doch auch eingefangen haben...oder ist das unter XP Normalzustand, wie bspws. Werbepopups?
Ich benutze nämlich nur ungern (Drittanbieter)-plugins...wie Xfree gepostet hat (kann gerade irgendwie nicht "kopieren-zitieren"...).
Spybot/adaware und Antivir haben im abgesicherten Modus nix gefunden!

Grüße und Dank

[For]Hood2 · 23.11.2005

Also adblock benutze ich selber und ich behaupte mal das ist das meistgenutzte Plugin überhaupt. Nein die grünen links sind NICHT normal für XP. Das nennt IntelliTXT und sollte eigentlich nur auf bestimmten Seiten sein. Das ist auch ok denn irgendwie müssen sich einige Webseiten ja finanzieren. Es befindet sich nicht auf Deinem Computer. Wenn Du allerdings die auf allen Seiten hast dann schauen wir mal in Deinen PC.

Hilfe bei Schädlingsbefall -ARCHIV-

[For]Hood2

Guest

ShEeP)G(2

Guest

[For]Hood2

Guest

ShEeP)G(2

Guest

[For]Hood2

Guest

Splinter2

Guest

Technik/Software Forum

Splinter2

Guest

Technik/Software Forum

Splinter2

Guest

20Rine05

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

Philosophaster

Guest

[For]Hood2

Guest

,

[For]Hood2

Guest

XFreeX

Guest

Philosophaster

Guest

[For]Hood2

Guest

Philosophaster

Guest

[For]Hood2

Guest

,

Philosophaster

Guest

[For]Hood2

Guest

Philosophaster

Guest

[For]Hood2

Guest

Philosophaster

Guest

[For]Hood2

Guest

Philosophaster

Guest

[For]Hood2

Guest

Philosophaster

Guest

[For]Hood2

Guest

[For]Hood2

Guest