Hallo,ich denke ich habe ein großes problem!
bekomme laufend!!diese meldung von sp2 pack service center:

Your computer is infected
dangerous malware infection was derected on your Pc
The system will now download and install most effiecent antimalware programm to prevent data loss and your private information theft.
Click here to protect your computer from the biggest malware threats.

wenn ich draufklicke passiert nichts!!

spybot hat mehrere sachen gefunde zb was ich für bedenklich halte,windows firewall overide und windows update overide.

hier mein 1stes logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:41:25, on 31.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ROBERT~1\LOKALE~1\Temp\Rar$EX00.938\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp8925.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.Exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2000\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {580F1852-1B16-4D0C-B0B9-C34135A3D2D5} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {580F1852-1B16-4D0C-B0B9-C34135A3D2D5} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: *.winfixer.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2417791453
O17 - HKLM\System\CCS\Services\Tcpip\..\{5795F24A-126E-4665-A8CF-233FF5C2155D}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{14228531-EF21-4E1D-9F83-EE084B5F97E3}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

hoffe das war richtig so.
bitte bitte helft mir.
danke und allen hier schonmal einen guten rutsch.
mfg
julian

Bitte!!!!!!

Sorry ich kann mich grade nicht länger damit auseinandersetzen ich bin auf'm Sprung.
Bitte nimm schonmal das 2te Log wieder raus, das brauchen wir nicht.

Hi!

Ich habe den Beitrag mal geloescht. Du hast Spyaxe drauf. Bitte mache noch folgendes bevor wir dir helfen koennen:

Cleanup!
http://www.stevengould.org/downloads/cl ... anUp40.exe
--> Bebilderte Anleitung ( http://virus-protect.net/cleanup.html )

Datfinbad
- abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad)
Die letzten 3 Monate reichen
http://virus-protect.net/datfindbat.html

Info:
--> http://virus-protect.net/artikel/spyware/spyaxe.html

MfG,

Wichtig!

Habe editiert. Es muss zuerst Cleanup! ausgefuehrt werden. Sorry.

Also danke erstmal!

hoffe das ist korekt so!?:

01.01.2006 19:00 5.084 ncompat.tlb
01.01.2006 18:58 5.632 msvol.tlb
01.01.2006 18:58 10.000 hp29E8.tmp
01.01.2006 16:19 10.000 hpC265.tmp
01.01.2006 16:19 24.064 ldBFC5.tmp
01.01.2006 11:25 100 LuResult.txt
31.12.2005 13:49 2 stera.job
31.12.2005 13:16 15.712 nvctrl.exe
31.12.2005 12:46 102.400 wbeconm.dll
31.12.2005 12:46 4.286 ts.ico
31.12.2005 12:46 4.286 ot.ico
31.12.2005 12:46 9.796 mssearchnet.exe
30.12.2005 21:36 14.680 mscornet.exe
11.12.2005 22:29 2.206 wpa.dbl
08.12.2005 16:25 2.723.680 MRT.exe
08.12.2005 14:33 311.604 perfh009.dat
08.12.2005 14:33 39.992 perfc009.dat
08.12.2005 14:33 316.594 perfh007.dat

sorry aber das verstehe ich nicht so ganz!?

wer lesen kann ist klar im Vorteil

es sind 4 Textdateien

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
http://virus-protect.net/datfindbat.html

ahchsoooooo

Verzeichnis von C:\DOKUME~1\ROBERT~1\LOKALE~1\Temp

01.01.2006 18:58 31.692 SALanguage.ini
01.01.2006 18:58 32.768 ~DFAFAF.tmp
01.01.2006 17:59 16.384 ~DF9180.tmp
01.01.2006 17:59 16.384 ~DF867F.tmp
01.01.2006 16:19 32.768 ~DF10B7.tmp
29.12.2005 00:31 120 0FD1A8EB.TMP
6 Datei(en) 130.116 Bytes
0 Verzeichnis(se), 13.809.852.416 Bytes frei



Verzeichnis von C:\WINDOWS

01.01.2006 18:58 6 Twain001.Mtx
01.01.2006 18:58 217 TWAIN.LOG
01.01.2006 18:58 156 Twunk001.MTX
01.01.2006 16:41 32.608 SchedLgU.Txt
01.01.2006 16:22 1.540.811 WindowsUpdate.log
01.01.2006 16:22 350.127 setupapi.log
01.01.2006 16:19 0 0.log
01.01.2006 16:19 159 wiadebug.log
01.01.2006 16:19 50 wiaservc.log
01.01.2006 16:19 2.048 bootstat.dat
31.12.2005 02:06 20.012 wmsetup.log
21.12.2005 11:07 149 NsNetScan.ini
18.12.2005 19:29 170.020 setupact.log
14.12.2005 14:01 117.166 comsetup.log
14.12.2005 14:01 48.626 iis6.log
14.12.2005 14:01 70.626 ntdtcsetup.log
14.12.2005 14:01 128.604 tsoc.log
14.12.2005 14:01 18.278 ocmsn.log
14.12.2005 14:01 1.393 imsins.log
14.12.2005 14:01 10.077 KB910437.log
14.12.2005 14:01 169.878 ocgen.log
14.12.2005 14:01 16.560 msgsocm.log
14.12.2005 14:01 314.326 FaxSetup.log
14.12.2005 14:01 23.436 updspapi.log
14.12.2005 14:01 1.393 imsins.BAK
14.12.2005 14:01 16.290 KB905915.log
13.12.2005 13:00 3.189 avmadd321.log
13.12.2005 13:00 2.598 avminstcli.log
13.12.2005 13:00 1.939 avmadd32.log
13.12.2005 13:00 765 avmcowlan.log
13.12.2005 13:00 10.341 avmsetup.log
13.12.2005 13:00 1.235 accessdll.log
13.12.2005 12:49 105 avmsysnet.log
08.12.2005 14:45 74.567 _detmp.3
05.12.2005 14:44 502 svcpack.log
03.12.2005 17:05 25.601 CSTBox.INI
19.11.2005 19:24 0 Twunk002.MTX
19.11.2005 18:38 7 jwprimej.nom
19.11.2005 18:09 249.856 Setup1.exe
19.11.2005 18:09 73.216 ST6UNST.EXE
18.11.2005 12:18 735 win.ini
18.11.2005 12:18 227 system.ini
11.11.2005 10:55 29 DEBUGSM.INI
11.11.2005 09:44 1.080 gramit32.cfg
10.11.2005 17:36 403 ODBC.INI
10.11.2005 14:03 34.494 KB896424.log
09.11.2005 21:51 37 vbaddin.ini
31.10.2005 19:40 20 prefs_zb.dll
30.10.2005 16:27 138 SWISNIFE.INI
27.10.2005 17:08 0 prestopm.INI
27.10.2005 17:04 105 UMXADDIN.INI
27.10.2005 17:04 57 PM20.INI
15.10.2005 15:09 18.886 ModemLog_Motorola USB Modem #4.txt
15.10.2005 13:02 22.592 KB901017.log
15.10.2005 13:02 25.651 KB902400.log
15.10.2005 13:01 15.951 KB896688.log
15.10.2005 13:01 14.268 KB905414.log
15.10.2005 13:01 13.972 KB900725.log
15.10.2005 13:01 11.343 KB904706.log
15.10.2005 13:00 11.984 KB905749.log
15.10.2005 10:12 1.192.924 setupapi.log.0.old
15.10.2005 10:11 74.656 _detmp.1
14.10.2005 19:11 3.168 avminstcli1.log
02.10.2005 18:48 18.532 ModemLog_Motorola USB Modem #3.txt
20.09.2005 15:13 11.728 ModemLog_Motorola USB Modem.txt
24.08.2005 17:03 2.472 0190Warner_Uninstall.ins
24.08.2005 16:55 8.745 SYMEVENT.LOG
10.08.2005 13:56 18.192 KB899587.log
10.08.2005 13:56 17.687 KB899591.log
10.08.2005 13:56 17.800 KB893756.log
10.08.2005 13:56 17.149 KB896423.log
10.08.2005 13:56 17.849 KB896727.log
10.08.2005 13:55 13.540 KB899588.log
10.08.2005 13:55 13.265 KB894391.log



Verzeichnis von C:\

01.01.2006 19:19 0 sys.txt
01.01.2006 19:19 8.596 system.txt
01.01.2006 19:18 537 systemtemp.txt
01.01.2006 19:17 101.150 system32.txt
01.01.2006 16:18 1.207.959.552 pagefile.sys
31.12.2005 18:44 9.811 write.log
31.12.2005 18:43 8.554 preupd.log
18.11.2005 12:18 211 boot.ini
25.08.2005 19:25 0 DBS.TXT
26.07.2005 21:01 47.564 NTDETECT.COM
26.07.2005 21:01 251.184 ntldr
26.07.2005 20:37 0 IO.SYS
26.07.2005 20:37 0 MSDOS.SYS
26.07.2005 20:37 0 AUTOEXEC.BAT
26.07.2005 20:37 0 CONFIG.SYS
18.08.2001 13:00 4.952 bootfont.bin
16 Datei(en) 1.208.392.111 Bytes
0 Verzeichnis(se), 13.809.885.184 Bytes frei

ist es so richtig???

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.net/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.net/reg/spyaxe.reg

------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.net/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hp29E8.tmp
C:\WINDOWS\system32\hpC265.tmp
C:\WINDOWS\system32\ldBFC5.tmp
C:\WINDOWS\system32\LuResult.txt
C:\DOKUME~1\ROBERT~1\LOKALE~1\Temp\SALanguage.ini
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\wbeconm.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\mscornet.exe


starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

-----------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp8925.tmp (file missing)
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: *.winfixer.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com

PC neustarten

-----------------------------------------------

SmitRem2.8
http://noahdfear.geekstogo.com/click%20 ... k.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

counterspy
http://virus-protect.net/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

also,habe soweit alles befolgt,nur tritt ein problem auf,
wenn ich counterspy installieren will, bekomme ich immer diese meldung:
Der zugriff auf windows script host wurde auf diesem computer deaktiviert wenden sie sich an den administrator um weitere details zu erhalten.

(bin als administrator angemeldet)

?????

DANKE

bekomme immer die meldung: "Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert." und ich solle mich an den Administrator wenden.

Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten)

Solltest du Xp antispy nutzen musst du dort die Entsprechende Funktion wieder deaktivieren.

oh super,das hat geklappt.

hier der report:

Spyware Scan Details
Start Date: 01.01.2006 21:07:11
End Date: 01.01.2006 22:03:09
Total Time: 55 mins 58 secs

Detected spyware

BearShare P2P more information...
Details: BearShare is a file sharing network. The free version installs a number of known spyware and adware programs.
Status: Deleted

Infected files detected
c:\programme\bearshare\bearshare.dat
c:\programme\bearshare\freepeers.ini
c:\programme\bearshare\db\config.bin
c:\programme\bearshare\db\connect.txt
c:\programme\bearshare\db\gwebcache.dat
c:\programme\bearshare\db\hostiles-chat.txt
c:\programme\bearshare\db\hostiles.txt
c:\programme\bearshare\db\library.2.db
c:\programme\bearshare\db\library.2.db.lastgoodload.bak
c:\programme\bearshare\db\library.db
c:\programme\bearshare\db\library.db.lastgoodload.bak
c:\programme\bearshare\db\searches.ini
c:\programme\bearshare\logs\hosts-state.txt
c:\programme\bearshare\logs\memory.txt
c:\programme\bearshare\logs\ordinal.txt
c:\programme\bearshare\logs\streams.txt
c:\programme\bearshare\temp\tmprocco gina wild true story 9 pool double anal gangbang *lol* orgy 12.15m.dat
c:\programme\bearshare\temp\tmprocco gina wild true story 9 pool double anal gangbang *lol* orgy 12.15m.dat.bak
c:\programme\bearshare\temp\tmprocco gina wild true story 9 pool double anal gangbang *lol* orgy 12.15m.mpg
c:\programme\bearshare\temp\tmprocco gina wild true story 9 pool double anal gangbang *lol* orgy 12.15m.tiger

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library


WhenU.WhenUSearch Low Risk Adware more information...
Details: a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism.
Status: Deleted


Desktop Links Adware more information...
Status: Deleted

Infected files detected
C:\!KillBox\ts.ico


Adw.Afris.Downloader Browser Hijacker more information...
Details: This ownloader silently travels to porn sites without displaying a browser. No window is visible, but this threat visits various porn sites and loads up the temporary internet files folder with many pornographic images.
Status: Deleted

Infected files detected
C:\Backup alte Installationen\alt-Dokumente und Einstellungen\Robert Rickert\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-2349200b-292c06c6.class


Travelling Salesman Spyware more information...
Details: Travelling Salesman monitors browsing habits and distributes the data back to the spyware web servers for analysis. Travelling Salesman also displays popup advertisements.
Status: Deleted

Infected files detected
C:\Backup alte Installationen\alt-Submit\oziwc.dll


WhenU.SaveNow Adware more information...
Details: an advertising application that displays pop-up advertising on the desktop in response to users' surfing behavior.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class


Pot.SpyAxe Adware more information...
Details: Pot.SpyAxe is program used to detect and remove malware.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}