Hab mir vor kurzem beim Surven ein paar Trojaner, Spyware... eingefangen. Hab gleich darauf ein paar Antiadwares ausprobiert, die haben auch einiges davon gelöscht.
Einer davon war ne Demo, dieser hat aber einige Dateien gefunden, die die Freewares übersehen haben. Leider kann man mit der Demo nix löschen. Eine der dateien heißt SVchosts.exe. Wollte die datei löschen, aber die wurde gerade ausgeführt. Bin dann in den abgesicherten Modus gegangen, aber die datei wurde immer noch ausgeführt, also wieder nichts mit löschen. Hab den Taskmanager aufgemacht, um das Ding zu closen: Da waren 2 Anwendungen, die SVCHOST.exe hießen. Hab die erste geschlossen, nix hat sich geändert. Als ich die 2. geschlossen hab is ein Fenster gekommen, dass der PC in 60 Sekunden neu gestartet wird, da ein wichtiger Prozess geschlöossen wurde, oder so. Das finde ich aber seltsam, da die Datei SVCHOST.exe erst am mittwoch erstellt wurde (da sind auch die Viren gekommen) und der PC ja vorher auch ohne diese Datei ausgekommen ist.
Zudem is in der Symbolleiste ein nerviges Symbol, das Virus Alert anzeigt und wenn ich draufklicke eine Seite von Spyaxe öffnet, d.h. ne Werbung. Diese Symbol bleibt sogar im abgesicherten Modus erhalten!!! ich glaub fast, dass SVCHOST.exe das auslöst.

Bitte um Hilfe!
Das Hijackfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:09:06, on 13.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
D:\Gamesource\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Thomas\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Gamesource\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp9C65.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Gamesource\ICQToolbar\toolbaru.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll (file missing)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Gamesource\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Gamesource\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Gamesource\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Gamesource\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Gamesource\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {FF5654D7-CC7F-4F9F-B358-722BBB9DAD34} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {FF5654D7-CC7F-4F9F-B358-722BBB9DAD34} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

up

Hallo@

CCleaner
http://virus-protect.net/temp.html
lösche alle temp-Dateien

http://virus-protect.net/datfindbat.html
kopiere hier die 4 logs

http://virus-protect.net/winpfind.html
Log von Winpfind

http://virus-protect.net/silentrunner.html
Log von Silentrunner

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-9583

Verzeichnis von C:\WINDOWS\system32

15.11.2005 16:50 25.065 wmpscheme.xml
14.11.2005 19:40 43.520 CmdLineExt03.dll
14.11.2005 19:09 2.206 wpa.dbl
09.11.2005 19:33 102.400 svchosts.dll
30.10.2005 10:41 311.740 perfh009.dat
30.10.2005 10:41 40.128 perfc009.dat
30.10.2005 10:41 316.924 perfh007.dat
30.10.2005 10:41 48.360 perfc007.dat
30.10.2005 10:41 723.744 PerfStringBackup.INI
23.10.2005 18:36 5.618 jupdate-1.5.0_05-b05.log
09.10.2005 12:17 21.840 SIntfNT.dll
09.10.2005 12:17 17.212 SIntf32.dll
09.10.2005 12:17 12.067 SIntf16.dll
09.10.2005 12:02 190.592 FNTCACHE.DAT
09.10.2005 10:52 0 h323log.txt
09.10.2005 10:22 261 $winnt$.inf
09.10.2005 10:18 2.951 CONFIG.NT
09.10.2005 10:18 16.832 amcompat.tlb
09.10.2005 10:18 23.392 nscompat.tlb
09.10.2005 10:16 488 logonui.exe.manifest
09.10.2005 10:16 488 WindowsLogon.manifest
09.10.2005 10:15 749 ncpa.cpl.manifest
09.10.2005 10:15 749 nwc.cpl.manifest
09.10.2005 10:15 749 cdplayer.exe.manifest
09.10.2005 10:15 749 sapi.cpl.manifest
09.10.2005 10:15 749 wuaucpl.cpl.manifest
09.10.2005 10:12 21.740 emptyregdb.dat
26.08.2005 17:14 127.078 javaws.exe
26.08.2005 17:14 49.265 jpicpl32.cpl
26.08.2005 14:55 49.250 javaw.exe
26.08.2005 14:55 49.248 java.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-9583

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-9583

Verzeichnis von C:\WINDOWS

15.11.2005 18:36 159 wiadebug.log
15.11.2005 18:36 50 wiaservc.log
15.11.2005 18:36 2.048 bootstat.dat
15.11.2005 18:35 23.144 SchedLgU.Txt
10.11.2005 18:31 36.864 intercept.dll
23.10.2005 18:37 3.837 mozver.dat
09.10.2005 12:18 49.393 DIIUnin.dat
09.10.2005 12:09 2.829 DIIUnin.pif
09.10.2005 12:09 102.400 DIIUnin.exe
09.10.2005 11:13 0 nsreg.dat
09.10.2005 11:13 99.970 UninstallFirefox.exe
09.10.2005 10:47 400 ODBC.INI
09.10.2005 10:47 568 win.ini
09.10.2005 10:44 0 Sti_Trace.log
09.10.2005 10:41 231 system.ini
09.10.2005 10:23 8.192 REGLOCS.OLD
09.10.2005 10:18 0 control.ini
09.10.2005 10:18 299.552 WMSysPrx.prx
09.10.2005 10:17 4.161 ODBCINST.INI
09.10.2005 10:15 749 WindowsShell.Manifest
09.10.2005 10:12 37 vbaddin.ini
09.10.2005 10:12 36 vb.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C00E-9583

Verzeichnis von C:\

15.11.2005 19:11 0 sys.txt
15.11.2005 19:10 2.950 system.txt
15.11.2005 19:10 134 systemtemp.txt
15.11.2005 19:08 87.011 system32.txt
15.11.2005 18:36 536.399.872 hiberfil.sys
15.11.2005 18:36 805.306.368 pagefile.sys
09.10.2005 10:18 0 AUTOEXEC.BAT
09.10.2005 10:18 0 CONFIG.SYS
09.10.2005 10:18 0 IO.SYS
09.10.2005 10:18 0 MSDOS.SYS
09.10.2005 09:50 194 boot.ini
29.08.2002 01:05 235.296 ntldr
28.08.2002 21:08 47.580 NTDETECT.COM
18.08.2001 11:00 4.952 bootfont.bin
14 Datei(en) 1.342.084.357 Bytes
0 Verzeichnis(se), 15.717.584.896 Bytes frei

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 11:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 29.08.2002 03:43:28 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 11:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
15.11.2005 19:17:38 S 2048 C:\WINDOWS\bootstat.dat
09.10.2005 10:16:00 RH 749 C:\WINDOWS\WindowsShell.Manifest
09.10.2005 10:16:10 H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini
09.10.2005 10:17:24 HS 67 C:\WINDOWS\Fonts\desktop.ini
09.10.2005 10:16:10 H 65 C:\WINDOWS\Offline Web Pages\desktop.ini
09.10.2005 10:16:44 RHS 765 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_1.cab
09.10.2005 10:16:44 RHS 20242 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_2.cab
09.10.2005 10:16:44 RHS 243610 C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_3.cab
09.10.2005 10:18:16 H 233472 C:\WINDOWS\repair\ntuser.dat
09.10.2005 10:16:00 RH 749 C:\WINDOWS\system32\cdplayer.exe.manifest
09.10.2005 10:16:10 RH 488 C:\WINDOWS\system32\logonui.exe.manifest
09.10.2005 10:16:00 RH 749 C:\WINDOWS\system32\ncpa.cpl.manifest
09.10.2005 10:16:00 RH 749 C:\WINDOWS\system32\nwc.cpl.manifest
09.10.2005 10:16:00 RH 749 C:\WINDOWS\system32\sapi.cpl.manifest
09.10.2005 10:16:10 RH 488 C:\WINDOWS\system32\WindowsLogon.manifest
09.10.2005 10:16:00 RH 749 C:\WINDOWS\system32\wuaucpl.cpl.manifest
15.11.2005 19:18:32 H 1024 C:\WINDOWS\system32\config\default.LOG
15.11.2005 19:17:50 H 1024 C:\WINDOWS\system32\config\SAM.LOG
15.11.2005 19:27:50 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
15.11.2005 19:22:54 H 1024 C:\WINDOWS\system32\config\software.LOG
15.11.2005 19:18:46 H 1024 C:\WINDOWS\system32\config\system.LOG
09.10.2005 11:32:10 H 1024 C:\WINDOWS\system32\config\TempKey.LOG
09.10.2005 11:32:12 H 1024 C:\WINDOWS\system32\config\userdiff.LOG
09.10.2005 10:40:30 HS 62 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\desktop.ini
09.10.2005 10:40:30 HS 62 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\desktop.ini
09.10.2005 10:16:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\desktop.ini
09.10.2005 10:16:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\desktop.ini
09.10.2005 10:16:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\71KXNLB4\desktop.ini
09.10.2005 10:16:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RQUVMXWL\desktop.ini
09.10.2005 10:16:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WO22MYUW\desktop.ini
09.10.2005 10:16:46 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZKHQ5X8Z\desktop.ini
09.10.2005 10:16:46 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\desktop.ini
09.10.2005 10:16:46 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\desktop.ini
09.10.2005 10:16:12 HS 187 C:\WINDOWS\system32\config\systemprofile\SendTo\desktop.ini
09.10.2005 10:40:30 HS 62 C:\WINDOWS\system32\config\systemprofile\Startmenü\desktop.ini
09.10.2005 10:18:14 HS 208 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\desktop.ini
09.10.2005 10:18:14 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
09.10.2005 10:18:14 HS 495 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\desktop.ini
09.10.2005 10:18:14 HS 303 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Eingabehilfen\desktop.ini
09.10.2005 10:18:14 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Unterhaltungsmedien\desktop.ini
09.10.2005 10:50:58 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\c4071d8b-377f-4d0a-8842-5c99871cda09
09.10.2005 10:50:58 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
15.11.2005 19:17:40 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 18.08.2001 11:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 29.08.2002 03:43:42 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 29.08.2002 03:43:42 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 18.08.2001 11:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 03:43:42 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29.08.2002 03:43:42 125440 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 03:43:42 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 26.08.2005 17:14:42 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 11:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 18.08.2001 11:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 11:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 18.08.2001 11:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 18.08.2001 11:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 18.08.2001 11:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 18.08.2001 11:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 29.08.2002 03:43:42 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 11:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 18.08.2001 11:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 18.08.2001 11:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 29.08.2002 03:43:42 583680 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 29.08.2002 03:43:42 132096 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 18.08.2001 11:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 29.08.2002 03:43:42 293376 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 29.08.2002 03:43:42 125440 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29.08.2002 03:43:42 66560 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 11:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 11:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 11:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 11:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 11:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 11:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 18.08.2001 11:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 29.08.2002 03:43:42 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 29.08.2002 03:43:42 272896 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 18.08.2001 11:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 18.08.2001 11:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
09.10.2005 10:18:14 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
09.10.2005 10:49:50 1731 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG311v2 Smart Configuration.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
09.10.2005 10:40:30 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
09.10.2005 10:18:14 HS 84 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
09.10.2005 11:20:58 1555 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\AdobeDLM.log
09.10.2005 10:40:30 HS 62 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\desktop.ini
09.10.2005 11:20:58 0 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Gamesource\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = D:\Gamesource\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd}
HomepageBHO = C:\WINDOWS\System32\hp9C65.tmp

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = Yahoo! Companion : C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} = ICQ Toolbar : D:\Gamesource\ICQToolbar\toolbaru.dll
{736b5468-bdad-41be-92d0-22ae2ddf7bcb} = SecurityToolbar : C:\Programme\Security Toolbar\Security Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}
ButtonText = Spyware Doctor :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherchieren :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : D:\Gamesource\ICQLite\ICQLite.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = Yahoo! Companion : C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} = ICQ Toolbar : D:\Gamesource\ICQToolbar\toolbaru.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min
ICQ Lite D:\Gamesource\ICQLite\ICQLite.exe -minimize
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
stnospy C:\Programme\SinEspias\no-spy.exe /autorun

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite D:\Gamesource\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
wininet.dll mscornet.exe
nvctrl.exe nvctrl.exe
kernel32.dll C:\WINDOWS\System32\mssearchnet.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 15.11.2005 19:28:39






"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "D:\Gamesource\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "mscornet.exe" [file not found]
"nvctrl.exe" = "nvctrl.exe" [file not found]
"kernel32.dll" = "C:\WINDOWS\System32\mssearchnet.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"ICQ Lite" = "D:\Gamesource\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"stnospy" = "C:\Programme\SinEspias\no-spy.exe /autorun" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd}\(Default) = "HomepageBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hp9C65.tmp" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Gamesource\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Gamesource\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\Gamesource\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Thomas" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"NETGEAR WG311v2 Smart Configuration" -> shortcut to: "C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe /HIDE" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" [file not found]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Gamesource\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" [file not found]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Gamesource\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

"{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [file not found]

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}\ = "SecurityToolbar"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [file not found]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{FF5654D7-CC7F-4F9F-B358-722BBB9DAD34}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "D:\Gamesource\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Gamesource\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 59 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 31 seconds.
---------- (total run time: 175 seconds)

Hab seit gestern außerdem das Problem, dass der PC alle paar Sekunden ne Auslastungsspitze hat, d.h. er setzt ne Sekunde aus, obwohl ich kein Programm laufen habe. Wenn ich in den Taskmanager gehe unter Systemleistung sieht das aus wie ein EKG.
Das macht es ziemlich unmöglich irgend ein programm auszuführen. ich glaub fast, dass das mit Adware zusammenhängt.

Hab gleich darauf ein paar Antiadwares.....

Damit hast du im Grunde den PC verseucht....zerstoert....man soll so was nicht laden...es sind Betrueger...
http://virus-protect.net/artikel/spyware/spyaxe.html

------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

C:\WINDOWS\intercept.dll

http://www.virustotal.com/flash/index_en.html

----------------------------------------------------------------------------------
KILLBOX
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\Programme\SinEspias\no-spy.exe
C:\WINDOWS\System32\SVchosts.exe
C:\WINDOWS\System32\svchosts.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread

suche/loesche:
C:\WINDOWS\system32\1024

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.net/reg/mcor.reg

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "mcor.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

scanne mit Panda
http://virus-protect.net/onlinescan.html

scanne mit ewido
http://virus-protect.net/ewido.html

smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

Security Toolbar


~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

C:\WINDOWS\System32\SVchosts.exe
---------------
Favorites\Antivirus Test Online.url <--loeschen
suche/loesche die url auch--> unter C:\Antivirus Test Online.url
C:\Programme\Security Toolbar <---loeschen

scanne mit ewido und poste den scanreport
http://virus-protect.net/ewido.html

Hab die Anweisungen befolgt, bis auf http://www.virustotal.com/flash/index_en.html. Da is auch nach 10 Minuten wartezeit nichts rausgekommen. Und als ich die svchost.exe löschen wollte mit Killbox, is gestanden, dass man die nich löschen kann und eine Warnung, dass sich der PC in 60 Sekunden selbst ausschalten würde.

Die lästige Symbolleistenwerbung von Spyaxe is schonmal weg .

Svchost.exe wird leider noch immer fünffach ausgeführt und die Aussetzer sind auch noch da.

Hab mir nie gedacht, dass Spyaxe ein Virus is, dachte eher Microsoft will seine Produkte verscherbeln.

svchost.exe kann man nicht loeschen, es ist ein Systemdienst von Windows.

Dennoch war ich erstaunt, als ich las, dass du eine

SVChost.exe

gefunden hast...gleichzeitig mit der Verseuchung von Spyaxe.

Ist es wirklich eine SVChost.exe ????

scanne mit ewido und poste den scanreport
http://virus-protect.net/ewido.html

Hab das mit dem löschen von SVChost nochmal probiert und diesmal hab ich das Häkchen gesetzt, das ich beim letzten mal vergessen hab. Die Svchost.exe is aber immer noch da. Die andren 2 sind weg.
Hab nachgeguckt, und die svchost.exe existiert wirklich schon seit 2001. Die svchost.dll war erst seit mittwoch da.

Ewido hat keine Viren gefunden. Soll ich den Scan trotzdem posten?

Norman Scanner Engine 5.83. 7
Sandbox 05.83, dated 10/10-2005

Your message ID (for later reference): 20051116-1052

svchost.exe : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 12800 bytes.


(C) 2004 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.

Sent by kroesswang_thomas@gmx.at to sandbox.
Received 16.Nov 2005 at 20.21 - processed 16.Nov 2005 at 20.23.

Und noch das für die Intercept.dll:

Norman Scanner Engine 5.83. 7
Sandbox 05.83, dated 10/10-2005

Your message ID (for later reference): 20051116-1068

intercept.dll : Not detected by sandbox (Signature: NO_VIRUS)
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 36864 bytes.


(C) 2004 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.

Sent by kroesswang_thomas@gmx.at to sandbox.
Received 16.Nov 2005 at 20.34 - processed 16.Nov 2005 at 20.34.

Juhuu, auch die Aussetzer sind seit gestern verschwunden! Ich danke dir vielmals, dafür dass es jetzt wieder funktioniert.

Der Prozess SVchost.dll is immer noch 5fach aktiv, warum auch immer