Swizzor Entfernung (aka völlig verseuchter Rechner)

von **Zed99** am 23.06.2006, 11:40

Hallo! Kann mir bitte jemand helfen?

Ich habe einen extrem lästigen Swizzor auf meinem Laptop, der jedes Mal wenn ich eine Seite öffne 4 pop-up Werbungen erscheinen lässt.

Mein Hijackthis Log sieht folgendermaßen aus. Das ist der ursprüngliche. Ich habe bereits einen eintrag von "mybar" entfernt und auch den entsprechenden Ordner mit KillBox eliminiert. Trotzdem kommen immer noch pop-up Fenster.

Logfile of HijackThis v1.99.1
Scan saved at 11:34:04, on 23.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QKeys\QKeys.EXE
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\dfndra.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\msconfig.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Create A Monster] "C:\Programme\Kudd.com\createAMonster.exe" -run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [defender] C:\\dfndra.exe
O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: msconfig.exe
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/haphazard/rapti ... loader.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/c ... 21t0_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/c ... /nt1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/c ... grt5_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/c ... ywt0_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-30.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/041b73981f9 ... 601_de.cab
O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://www.arcadetown.com/dinerdash2/Di ... 0.0.48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7178393937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2795472406
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://216.237.70.217/activex/AxisCamControl.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZI ... b34246.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - http://zone.msn.com/bingame/gold/default/gf.cab
O16 - DPF: {DAF5D9A2-D982-4671-83E4-0398706A5F6A} (SCEWebLauncherCtl Object) - http://zone.msn.com/bingame/hsol/defaul ... uncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/defaul ... der_v6.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: bw+0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: offline-8876480 - {60FA52DE-A0C3-4169-86EA-7C27BFDE1B63} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Kann mir jemand helfen? :oops:

von **Nikita** am 23.06.2006, 11:50

voellig verseuchter Rechner..Wuermer, Backdoors.....

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

von **Zed99** am 23.06.2006, 14:54

oh, vielen dank :shock:

also clean up hab ich jetzt durchlaufen lassen. ich habe jetzt versucht das mit den bat dateien zu machen, aber immer wenn ich doppelklicke kommt die fehlermeldung "Ein anderes Programm greift gerade auf diese Datei zu." Was kann idch da jetzt machen :cry:

von **Nikita** am 23.06.2006, 15:08

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Files to delete:
C:\dfndra.exe
C:\Windows\System32\p2pnetworking.exe
C:\Windows\System32\cmd.com
C:\Windows\System32\bszip.dll
C:\Windows\System32\netstat.com
C:\Windows\System32\ping.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [defender] C:\\dfndra.exe
O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe

PC neustarten

**
dann versuche noch einmal die bat anzuwenden

von **Zed99** am 23.06.2006, 15:23

Also hier ist das log von avenger, ich mache das mit Hijackthis auch gleidh (vielen dank nochmal :oops:

)

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\avjubaiq

*******************

Script file located at: \??\C:\WINDOWS\system32\iyspcpxo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\dfndra.exe deleted successfully.
File C:\Windows\System32\p2pnetworking.exe deleted successfully.

File C:\Windows\System32\cmd.com not found!
Deletion of file C:\Windows\System32\cmd.com failed!

Could not process line:
C:\Windows\System32\cmd.com
Status: 0xc0000034

File C:\Windows\System32\bszip.dll not found!
Deletion of file C:\Windows\System32\bszip.dll failed!

Could not process line:
C:\Windows\System32\bszip.dll
Status: 0xc0000034

File C:\Windows\System32\netstat.com not found!
Deletion of file C:\Windows\System32\netstat.com failed!

Could not process line:
C:\Windows\System32\netstat.com
Status: 0xc0000034

File C:\Windows\System32\ping.com not found!
Deletion of file C:\Windows\System32\ping.com failed!

Could not process line:
C:\Windows\System32\ping.com
Status: 0xc0000034

File C:\Windows\System32\regedit.com not found!
Deletion of file C:\Windows\System32\regedit.com failed!

Could not process line:
C:\Windows\System32\regedit.com
Status: 0xc0000034

File C:\Windows\System32\taskkill.com not found!
Deletion of file C:\Windows\System32\taskkill.com failed!

Could not process line:
C:\Windows\System32\taskkill.com
Status: 0xc0000034

File C:\Windows\System32\tasklist.com not found!
Deletion of file C:\Windows\System32\tasklist.com failed!

Could not process line:
C:\Windows\System32\tasklist.com
Status: 0xc0000034

File C:\Windows\System32\tracert.com not found!
Deletion of file C:\Windows\System32\tracert.com failed!

Could not process line:
C:\Windows\System32\tracert.com
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

von **Zed99** am 23.06.2006, 15:31

okay, hab jetzt alles gemacht, aber die bat dateien lassen sich leider immer noch nicht öffnen :cry:

ich hab jetzt mal geschaut: kann es sein, dass die dateien die ich in avenger kopieren sollte exe dateien sind und also nicht die endung .com haben?

(und kann es sein, dass es nicht regedit, sondern regedt32 ist? habe nämlich nur das im ordner system32)

von **Nikita** am 23.06.2006, 16:02

1.
gehe in die Registry

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

-----------------------------------------------------------------------------------------------------
2.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

von **Zed99** am 23.06.2006, 18:53

Okay jetzt funktionieren die bat dateien

Hier ist der Text:

datfind

1. Log (letzte 3 Monate)

23.06.2006 15:24 248 n.bat
23.06.2006 15:22 32.768 setup.exe.tmp
22.06.2006 21:58 230 spupdsvc.inf
22.06.2006 16:15 2.206 wpa.dbl
22.06.2006 09:59 16.384 DR.0XE
21.06.2006 19:25 147.456 vbzip10.dll
21.06.2006 19:25 0 taskkill.exe
08.06.2006 18:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
17.05.2006 11:23 579.888 LegitCheckControl.DLL
14.05.2006 18:37 39.437 ldD8B6.tmp
14.05.2006 18:37 50.701 REGPERF.0XE
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
23.04.2006 15:19 7.027 jupdate-1.5.0_06-b05.log

2. Log (letzte 3 Monate)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp

23.06.2006 17:24 416 java_install_reg.log
23.06.2006 16:55 618 jusched.log
23.06.2006 16:45 16.384 ~DFBA75.tmp
23.06.2006 16:21 16.384 ~DF6221.tmp
23.06.2006 15:29 16.384 ~DF898D.tmp
23.06.2006 15:21 16.384 ~DFEAC3.tmp
23.06.2006 15:13 234 VGXC.tmp
23.06.2006 15:13 298 VGXB.tmp
23.06.2006 15:13 1.252 VGXA.tmp
18.06.2006 00:38 114 D1B5B4F1.TMP

3. Log (letzte 3 Monate)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\WINDOWS

23.06.2006 16:52 1.495.894 WindowsUpdate.log
23.06.2006 16:48 113.040 setupapi.log
23.06.2006 16:45 159 wiadebug.log
23.06.2006 16:45 50 wiaservc.log
23.06.2006 16:45 0 0.log
23.06.2006 16:45 2.048 bootstat.dat
23.06.2006 16:43 32.638 SchedLgU.Txt
23.06.2006 16:16 202 NeroDigital.ini
23.06.2006 14:17 155 winamp.ini
23.06.2006 10:28 757.004 ntbtlog.txt
22.06.2006 21:59 74.541 iis6.log
22.06.2006 21:59 102.064 ntdtcsetup.log
22.06.2006 21:59 169.639 comsetup.log
22.06.2006 21:59 186.847 tsoc.log
22.06.2006 21:59 1.374 imsins.log
22.06.2006 21:59 26.526 ocmsn.log
22.06.2006 21:59 15.012 ie7beta2Uninst.log
22.06.2006 21:58 40.663 updspapi.log
22.06.2006 21:57 243.124 ocgen.log
22.06.2006 21:57 24.298 msgsocm.log
22.06.2006 21:57 473.939 FaxSetup.log
22.06.2006 21:56 18.986 ie7beta2_main.log
22.06.2006 16:23 33.958 spupdsvc.log
22.06.2006 16:19 1.374 imsins.BAK
22.06.2006 16:19 19.713 ie7beta2.log
22.06.2006 16:14 4.505 KB915865.log
22.06.2006 16:13 12.143 KB904942.log
22.06.2006 10:03 42 drsmartload2.dat
21.06.2006 18:29 54.156 QTFont.qfn
18.06.2006 23:03 18.899 KB917734.log
18.06.2006 23:03 387.166 wmsetup.log
18.06.2006 23:00 18.534 KB918439.log
18.06.2006 23:00 18.900 KB917344.log
18.06.2006 23:00 18.671 KB917953.log
18.06.2006 23:00 22.651 KB916281.log
18.06.2006 22:59 16.727 KB914389.log
18.06.2006 17:02 1.409 QTFont.for
12.06.2006 09:45 128 MAC_ED.DAT
29.05.2006 09:59 615 fpexplor.INI
14.05.2006 16:19 11.941 KB913580.log
25.04.2006 20:15 11.170 KB900485.log
23.04.2006 15:36 16.839 KB908531.log
23.04.2006 15:36 16.096 KB911562.log
23.04.2006 15:35 18.145 KB912812.log
23.04.2006 15:33 21.500 KB911565.log
23.04.2006 15:32 12.136 KB911567.log

4. Log (letzte 3 Monate)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\

23.06.2006 18:52 0 sys.txt
23.06.2006 18:51 11.574 system.txt
23.06.2006 18:50 933 systemtemp.txt
23.06.2006 18:48 113.887 system32.txt
23.06.2006 18:47 3.273 look.txt
23.06.2006 16:45 72 Pollog.txt
23.06.2006 16:45 621.893 PollSt.txt
23.06.2006 16:45 805.306.368 pagefile.sys
23.06.2006 15:19 4.236 avenger.txt
23.06.2006 09:49 16.384 DRSMARTLOAD849G.0XE
23.06.2006 09:49 16.384 DRSMARTLOAD46G.0XE
23.06.2006 09:49 16.384 DRSMARTLOAD45G.0XE
22.06.2006 10:01 16.384 DRSMARTLOAD849F.0XE
22.06.2006 10:01 16.384 DRSMARTLOAD46F.0XE
22.06.2006 10:01 16.384 DRSMARTLOAD45F.0XE
21.06.2006 18:55 48.723 playground.log
12.06.2006 09:44 4.096 cdcops.log

look

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\Dokumente und Einstellungen\Stefan Hinterholzer\Anwendungsdaten

07.10.2004 21:34 <DIR> Adobe
14.01.2005 00:06 <DIR> Ahead
11.10.2005 20:53 <DIR> APPLEC~1 Apple Computer
03.11.2004 13:22 <DIR> ArcSoft
22.05.2006 15:27 <DIR> Canon
31.01.2005 13:02 <DIR> Creative
03.02.2005 11:41 <DIR> FUNKIT~1 funkitron
22.01.2006 14:37 72.912 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
23.04.2006 15:20 <DIR> Google
17.10.2004 18:45 <DIR> Help
26.10.2005 09:50 <DIR> IDENTI~1 Identities
07.10.2004 21:34 <DIR> INTERT~1 InterTrust
15.11.2004 15:04 <DIR> Logitech
16.10.2005 19:09 <DIR> MACMIL~1 Macmillan
18.11.2004 13:18 <DIR> MACROM~1 Macromedia
22.06.2006 16:19 <DIR> PLAYFI~1 PlayFirst
22.05.2006 17:55 <DIR> RAPTIS~1 Raptisoft
04.11.2004 09:31 <DIR> Real
07.10.2004 21:37 <DIR> ScanSoft
28.04.2005 17:35 <DIR> Skype
15.12.2005 09:32 <DIR> Sun
22.06.2006 16:30 62.706 wklnhst.dat
2 Datei(en) 135.618 Bytes
20 Verzeichnis(se), 28.317.192.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

06.11.2004 19:16 <DIR> Ahead
11.10.2005 20:48 <DIR> APPLEC~1 Apple Computer
31.01.2005 13:03 <DIR> Creative
18.10.2004 18:45 <DIR> CYBERL~1 CyberLink
18.11.2004 13:42 <DIR> MACROV~1 Macrovision
22.06.2006 16:19 <DIR> PLAYFI~1 PlayFirst
17.01.2005 10:38 <DIR> PopCap
17.05.2006 09:09 1.362 QTSBAN~1 QTSBandwidthCache
04.02.2005 09:53 <DIR> QUICKT~1 QuickTime
04.10.2005 21:48 <DIR> SkillJam
04.07.2005 21:01 <DIR> Skype
10.10.2004 14:14 <DIR> SSSCAN~1 SSScanAppDataDir
07.10.2004 21:37 <DIR> SSSCAN~2 SSScanWizard
01.02.2005 19:36 <DIR> Trymedia
07.10.2004 21:39 <DIR> ULEADS~1 Ulead Systems
10.01.2006 13:31 <DIR> WINDOW~1 Windows Genuine Advantage
13.12.2004 10:52 <DIR> Zylom
1 Datei(en) 1.362 Bytes
16 Verzeichnis(se), 28.317.192.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\WINDOWS\tasks

29.08.2002 14:00 65 desktop.ini
23.06.2006 16:48 322 MP Scheduled Scan.job
23.06.2006 16:45 6 SA.DAT
3 Datei(en) 393 Bytes
0 Verzeichnis(se), 28.317.192.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\Dokumente und Einstellungen\Stefan Hinterholzer\Anwendungsdaten

07.10.2004 21:34 <DIR> Adobe
14.01.2005 00:06 <DIR> Ahead
11.10.2005 20:53 <DIR> APPLEC~1 Apple Computer
03.11.2004 13:22 <DIR> ArcSoft
22.05.2006 15:27 <DIR> Canon
31.01.2005 13:02 <DIR> Creative
03.02.2005 11:41 <DIR> FUNKIT~1 funkitron
22.01.2006 14:37 72.912 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
23.04.2006 15:20 <DIR> Google
17.10.2004 18:45 <DIR> Help
26.10.2005 09:50 <DIR> IDENTI~1 Identities
07.10.2004 21:34 <DIR> INTERT~1 InterTrust
15.11.2004 15:04 <DIR> Logitech
16.10.2005 19:09 <DIR> MACMIL~1 Macmillan
18.11.2004 13:18 <DIR> MACROM~1 Macromedia
22.06.2006 16:19 <DIR> PLAYFI~1 PlayFirst
22.05.2006 17:55 <DIR> RAPTIS~1 Raptisoft
04.11.2004 09:31 <DIR> Real
07.10.2004 21:37 <DIR> ScanSoft
28.04.2005 17:35 <DIR> Skype
15.12.2005 09:32 <DIR> Sun
22.06.2006 16:30 62.706 wklnhst.dat
2 Datei(en) 135.618 Bytes
20 Verzeichnis(se), 28.317.118.464 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

06.11.2004 19:16 <DIR> Ahead
11.10.2005 20:48 <DIR> APPLEC~1 Apple Computer
31.01.2005 13:03 <DIR> Creative
18.10.2004 18:45 <DIR> CYBERL~1 CyberLink
18.11.2004 13:42 <DIR> MACROV~1 Macrovision
22.06.2006 16:19 <DIR> PLAYFI~1 PlayFirst
17.01.2005 10:38 <DIR> PopCap
17.05.2006 09:09 1.362 QTSBAN~1 QTSBandwidthCache
04.02.2005 09:53 <DIR> QUICKT~1 QuickTime
04.10.2005 21:48 <DIR> SkillJam
04.07.2005 21:01 <DIR> Skype
10.10.2004 14:14 <DIR> SSSCAN~1 SSScanAppDataDir
07.10.2004 21:37 <DIR> SSSCAN~2 SSScanWizard
01.02.2005 19:36 <DIR> Trymedia
07.10.2004 21:39 <DIR> ULEADS~1 Ulead Systems
10.01.2006 13:31 <DIR> WINDOW~1 Windows Genuine Advantage
13.12.2004 10:52 <DIR> Zylom
1 Datei(en) 1.362 Bytes
16 Verzeichnis(se), 28.317.118.464 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C13-8173

Verzeichnis von C:\WINDOWS\tasks

29.08.2002 14:00 65 desktop.ini
23.06.2006 16:48 322 MP Scheduled Scan.job
23.06.2006 16:45 6 SA.DAT
3 Datei(en) 393 Bytes
0 Verzeichnis(se), 28.317.118.464 Bytes frei

von **Nikita** am 24.06.2006, 01:02

1.
kopiere in den Avenger:

Files to delete:
C:\WINDOWS\system32\n.bat
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\spupdsvc.inf
C:\WINDOWS\system32\DR.0XE
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\ldD8B6.tmp
C:\WINDOWS\system32\REGPERF.0XE
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Lokale Einstellungen\Temp\VGXC.tmp
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Lokale Einstellungen\Temp\VGXB.tmp
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Lokale Einstellungen\Temp\VGXA.tmp
C:\WINDOWS\drsmartload2.dat
C:\DRSMARTLOAD849G.0XE
C:\DRSMARTLOAD46G.0XE
C:\DRSMARTLOAD45G.0XE
C:\DRSMARTLOAD849F.0XE
C:\DRSMARTLOAD46F.0XE
C:\DRSMARTLOAD45F.0XE

gruene Ampel - PC neustarten

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

3.
arbeite smitfraud.fix genau ab, wie beschrieben
http://virus-protect.org/artikel/tools/ ... utfix.html

4.
Lade ewido und poste den scanreport
http://virus-protect.org/ewido.html

von **Zed99** am 24.06.2006, 14:44

Okay, hier ist der ewido scan report:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 14:44:12 24.06.2006

+ Scan-Ergebnis:

C:\Programme\Microsoft AntiSpyware\Quarantine\02527485-389E-4328-BEF4-7C129B\910BEB07-5D1A-4C9A-BD4C-388825 -> Adware.180Solutions : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Programme\Microsoft AntiSpyware\Quarantine\58A437EE-ED7E-49C1-B83F-88E85D\420354BC-780C-4F2A-B4F5-D6FFE3 -> Adware.180Solutions : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Programme\Microsoft AntiSpyware\Quarantine\58A437EE-ED7E-49C1-B83F-88E85D\CB33A9ED-88C8-4262-831C-A72205 -> Adware.180Solutions : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Programme\Microsoft AntiSpyware\Quarantine\58A437EE-ED7E-49C1-B83F-88E85D\F0A90AD7-C3EF-4539-AA2C-F693BA -> Adware.180Solutions : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\coreak.dll -> Adware.Coreak : Mit Backup gesäubert (unter Quarantäne gestellt).
HKU\S-1-5-21-1417001333-1078145449-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5929CD6E-2062-44A4-B2C5-2C7E78FBAB38} -> Adware.Generic : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Programme\Microsoft AntiSpyware\Quarantine\28D15FD5-6AC6-48A2-ADB7-08717D\3CA424B5-0CBA-4CE9-A7F7-AB718C -> Adware.WinAD : Mit Backup gesäubert (unter Quarantäne gestellt).

[...] (hier sind die ganzen Dateien aus dem Ordner _)

C:\Programme\CA\SharedComponents\ScanEngine\arc0000.tmp -> Backdoor.IRCBot.qc : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\RECYCLER\S-1-5-21-1417001333-1078145449-725345543-1004\Dc1.0XE -> Backdoor.IRCBot.qc : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\SETUP.0XE -> Backdoor.IRCBot.qc : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\P2PNETWORKING.0XE -> Backdoor.IRCBot.qc : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup-24.06.2006-13.16.01,40.zip/avenger/p2pnetworking.exe -> Backdoor.IRCBot.qc : Fehler während der Säuberung.
C:\z.rar/Setup.exe -> Backdoor.IRCBot.qc : Fehler während der Säuberung.
C:\avenger\backup-24.06.2006-13.16.01,40.zip/avenger/dfndra.exe -> Downloader.Adload.ce : Fehler während der Säuberung.
C:\avenger\backup.zip/avenger/DRSMARTLOAD46F.0XE -> Downloader.Adload.ch : Fehler während der Säuberung.
C:\avenger\backup.zip/avenger/DRSMARTLOAD46G.0XE -> Downloader.Adload.ch : Fehler während der Säuberung.
C:\Programme\Microsoft AntiSpyware\Quarantine\B5F5DC1B-DB30-4F78-B1FD-A69791\E5D4BE84-0EA8-4FC1-B7A9-E29068.0 -> Downloader.Agent.br : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\UPDAK.0LL -> Downloader.Agent.br : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\RULESAK.0LL -> Downloader.Agent.bt : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/DRSMARTLOAD45F.0XE -> Downloader.VB.afn : Fehler während der Säuberung.
C:\avenger\backup.zip/avenger/DRSMARTLOAD45G.0XE -> Downloader.VB.afn : Fehler während der Säuberung.
C:\avenger\backup.zip/avenger/DRSMARTLOAD849F.0XE -> Downloader.VB.afn : Fehler während der Säuberung.
C:\avenger\backup.zip/avenger/DRSMARTLOAD849G.0XE -> Downloader.VB.afn : Fehler während der Säuberung.
C:\avenger\backup.zip/avenger/REGPERF.0XE -> Downloader.Zlob.ok : Fehler während der Säuberung.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll -> Not-A-Virus.Downloader.Win32.PopCap.b : Ignoriert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@com[1].txt -> TrackingCookie.Com : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@www.myaffiliateprogram[1].txt -> TrackingCookie.Myaffiliateprogram : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@oewabox[1].txt -> TrackingCookie.Oewabox : Gesäubert.
C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@php.sales.tfag[2].txt -> TrackingCookie.Tfag : Gesäubert.
C:\Programme\Media-Codec -> Trojan.Small : Mit Backup gesäubert (unter Quarantäne gestellt).

::Berichtende

Es wurden auch sehr viele dateien erkannt, die sich in einem Ordner Namens _ befunden habe. ich habe den gesamten Ordner gelöscht. Die Dateien hatten alle die Form Dateiname/setup.exe

also z.B. AVS Audio Tools 4.1.1.200.rar/Setup.exe ->

Bei allen kam folgende Meldung:
Backdoor.IRCBot.qc : Fehler während der Säuberung.

Hab sie wie gesagt gelöscht. Die restlichen Dateien hab ich oben gepostet.

von **Zed99** am 25.06.2006, 12:02

Ach, es kommen jetzt übrigens keine pop-ups mehr

Vielen Dank!

Is jetzt sonst alles halbwegs in Ordnung?

von **Nikita** am 25.06.2006, 12:36

1.
C:\avenger\backup.zip
C:\avenger\backup-24.06.2006 (alle backups vom Avenger....)

2.
mache noch einen Onlinescan mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

von **Zed99** am 25.06.2006, 13:17

Hier der Activescan report:

Incident Status Location

Potentially unwanted tool:application/altnet Not disinfected c:\program files\Altnet
Adware:adware/wupd Not disinfected c:\programme\MediaGateway
Adware:adware/emediacodec Not disinfected Windows Registry
Potentially unwanted tool:application/myway Not disinfected hkey_local_machine\software\microsoft\windows\currentversion\uninstall\My Way Speedbar Uninstall
Adware:adware/kudd Not disinfected Windows Registry
Adware:adware/dollarrevenue Not disinfected Windows Registry
Potentially unwanted tool:Application/MyWay Not disinfected C:\!KillBox\MyWay\myBar\2.bin\MY2NS.EXE
Potentially unwanted tool:Application/MyWay Not disinfected C:\!KillBox\MyWay\myBar\2.bin\NPMYWAY.DLL
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@ad.yieldmanager[2].txt
Spyware:Cookie/PointRoll Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@ads.pointroll[2].txt
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@adverserve[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@as-eu.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@atdmt[1].txt
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@casalemedia[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@doubleclick[1].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@fastclick[2].txt
Spyware:Cookie/Maxserving Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@maxserving[1].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@media.fastclick[2].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@mediaplex[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@tradedoubler[1].txt
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Cookies\stefan hinterholzer@tribalfusion[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Desktop\Computer security\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stefan Hinterholzer\Desktop\Computer security\SmitfraudFix.zip[SmitfraudFix/Process.exe]

von **Nikita** am 25.06.2006, 13:21

1.
Gehe in die Registry
Start - Ausfuehren - regedit

hkey_local_machine\software\microsoft\windows\currentversion\uninstall\My Way Speedbar Uninstall <--loeschen

2.
PC neustarten

3.
deinstallieren /loeschen

c:\program files\Altnet
c:\programme\MediaGateway
C:\Programme\MyWay

4.
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

von **Zed99** am 25.06.2006, 14:58

CounterSpy Scan Report:

Spyware Scan Details
Start Date: 25.06.2006 13:43:21
End Date: 25.06.2006 14:51:32
Total Time: 1 hrs 8 mins 11 secs

Detected spyware

KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{66fc8717-efa7-4546-8c4a-e224f3a80c76}
HKEY_CLASSES_ROOT\clsid\{66fc8717-efa7-4546-8c4a-e224f3a80c76}\TreatAs {0494D0DB-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\clsid\{66fc8717-efa7-4546-8c4a-e224f3a80c76}

AFX Windows Rootkit 2003 Backdoor more information...
Details: AFX Windows Rootkit 2003 is a backdoor trojan.
Status: Deleted

Infected files detected
c:\windows\system32\process.exe

My Way Speedbar Potentially Unwanted Program more information...
Details: MyWay Speedbar is a search toolbar that installs into Internet Explorer and Netscape Navigator, adding search functions and popup blocking.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{0494D0D1-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D1-F8E0-41ad-92A3-14154ECE70AC}\TypeLib {0494D0D0-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D1-F8E0-41ad-92A3-14154ECE70AC} myBar BHO
HKEY_CLASSES_ROOT\CLSID\{0494D0D3-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D3-F8E0-41ad-92A3-14154ECE70AC}\MiscStatus\1 131473
HKEY_CLASSES_ROOT\CLSID\{0494D0D3-F8E0-41ad-92A3-14154ECE70AC}\MiscStatus 0
HKEY_CLASSES_ROOT\CLSID\{0494D0D3-F8E0-41ad-92A3-14154ECE70AC}\TypeLib {0494D0D0-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D3-F8E0-41ad-92A3-14154ECE70AC}\Version 1.0
HKEY_CLASSES_ROOT\CLSID\{0494D0D3-F8E0-41ad-92A3-14154ECE70AC} myBar Installer2
HKEY_CLASSES_ROOT\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}\ProgID MyWayToolBar.NetscapeStartup.1
HKEY_CLASSES_ROOT\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}\TypeLib {0494D0D0-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID MyWayToolBar.NetscapeStartup
HKEY_CLASSES_ROOT\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC} myBarNetscapeStartup Class
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\MiscStatus\1 131473
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\MiscStatus 0
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\ProgID MyWayToolBar.SettingsPlugin.1
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\TypeLib {0494D0D0-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\Version 1.0
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID MyWayToolBar.SettingsPlugin
HKEY_CLASSES_ROOT\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC} My Way Settings
HKEY_CLASSES_ROOT\typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac}
HKEY_CLASSES_ROOT\typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac}\1.0\0\win32 blank
HKEY_CLASSES_ROOT\typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac}\1.0\HELPDIR blank
HKEY_CLASSES_ROOT\typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac}\1.0 Toolbar 1.0 Type Library
HKEY_CLASSES_ROOT\interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac}
HKEY_CLASSES_ROOT\interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac}\TypeLib {0494D0D0-F8E0-41AD-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{0494d0d6-f8e0-41ad-92a3-14154ece70ac} IMyWayBarNetscapeStartup
HKEY_CLASSES_ROOT\interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac}
HKEY_CLASSES_ROOT\interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac}\TypeLib {0494D0D0-F8E0-41AD-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{0494d0d4-f8e0-41ad-92a3-14154ece70ac} IMyWayBarNetscapeShutdown
HKEY_CLASSES_ROOT\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}\ProgID MyWayToolBar.NetscapeShutdown.1
HKEY_CLASSES_ROOT\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}\TypeLib {0494D0D0-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}\VersionIndependentProgID MyWayToolBar.NetscapeShutdown
HKEY_CLASSES_ROOT\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC} myBarNetscapeShutdown Class
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar\partner name Altnet Points Manager
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar ShzmCurInstall 3
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar pid KG
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar CurInstall 2
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar sr 16
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar pl 7
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Id FFB6C3A9-AD20-412B-918C-841D0DB68697
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Build 111.59987
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Visible 0
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Maximized 1
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar ConfigRevisionURL http://kg.barcfg.myway.com/speedbar/myS ... s=al2&p=KG
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar strings |SuchLeiste|abgerufen...|Offline-Browsing aktivieren|Schaltflächen immer in Farbe|SuchLeiste Version|Suche|Meine Suche|Bearbeiten|Schaltflächen für Meine Suche werden abgerufen|Meine SuchLeiste - jetzt noch
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar ConfigDateStamp 2004111103
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar ConfigRevision 39
HKEY_CLASSES_ROOT\CLSID\{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}\TypeLib {0494D0D0-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D9-F8E0-41ad-92A3-14154ECE70AC} My &Search Bar
HKEY_CLASSES_ROOT\CLSID\{0494D0D2-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D2-F8E0-41ad-92A3-14154ECE70AC}\MiscStatus\1 131473
HKEY_CLASSES_ROOT\CLSID\{0494D0D2-F8E0-41ad-92A3-14154ECE70AC}\MiscStatus 0
HKEY_CLASSES_ROOT\CLSID\{0494D0D2-F8E0-41ad-92A3-14154ECE70AC}\TypeLib {0494D0D0-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\CLSID\{0494D0D2-F8E0-41ad-92A3-14154ECE70AC}\Version 1.0
HKEY_CLASSES_ROOT\CLSID\{0494D0D2-F8E0-41ad-92A3-14154ECE70AC} myBar IE Installer
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeStartup.1
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeStartup.1\CLSID {0494D0D7-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeStartup.1 myBarNetscapeStartup Class
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeStartup
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeStartup\CLSID {0494D0D7-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeStartup\CurVer MyWayToolBar.NetscapeStartup.1
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeStartup myBarNetscapeStartup Class
HKEY_CLASSES_ROOT\MyWayToolBar.SettingsPlugin.1
HKEY_CLASSES_ROOT\MyWayToolBar.SettingsPlugin.1\CLSID {0494D0DB-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\MyWayToolBar.SettingsPlugin.1 My Way Settings Plugin
HKEY_CLASSES_ROOT\MyWayToolBar.SettingsPlugin
HKEY_CLASSES_ROOT\MyWayToolBar.SettingsPlugin\CLSID {0494D0DB-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\MyWayToolBar.SettingsPlugin\CurVer MyWayToolBar.SettingsPlugin.1
HKEY_CLASSES_ROOT\MyWayToolBar.SettingsPlugin My Way Settings Plugin
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeShutdown.1
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeShutdown.1\CLSID {0494D0D5-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeShutdown.1 myBarNetscapeShutdown Class
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeShutdown
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeShutdown\CLSID {0494D0D5-F8E0-41ad-92A3-14154ECE70AC}
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeShutdown\CurVer MyWayToolBar.NetscapeShutdown.1
HKEY_CLASSES_ROOT\MyWayToolBar.NetscapeShutdown myBarNetscapeShutdown Class
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Automation Shutdown MyWayToolBar.NetscapeShutdown.1 MyWayToolBar.NetscapeShutdown.1
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Automation Startup MyWayToolBar.NetscapeStartup.1 MyWayToolBar.NetscapeStartup.1

WinLock Remote Administrator Commercial Remote Control Tool more information...
Details: Being a client-server application, Remote Administrator allows the administrator to control the network installations of WinLock without leaving the computer ,hence giving opportunity to the user to control the machine Remotely.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Crystal Office

WindUpdates.MediaGateway Adware (General) more information...
Details: WindUpdates.MediaGateway is an adware application that displays advertising on the desktop, usually pop-ups.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{D676F999-4608-4dc5-A135-4F51F4212739}
HKEY_CLASSES_ROOT\CLSID\{D676F999-4608-4dc5-A135-4F51F4212739} rsp 6449DFF3B8111DA2A3CC73586C503CC89AC5A13A
HKEY_CLASSES_ROOT\Interface\{67A89831-6BC7-4CC0-A2C3-560F9A581E64}
HKEY_CLASSES_ROOT\Interface\{67A89831-6BC7-4CC0-A2C3-560F9A581E64}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{67A89831-6BC7-4CC0-A2C3-560F9A581E64}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{67A89831-6BC7-4CC0-A2C3-560F9A581E64}\TypeLib {91E523DB-2A1C-4231-BB06-9BE27C28739A}
HKEY_CLASSES_ROOT\Interface\{67A89831-6BC7-4CC0-A2C3-560F9A581E64}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{67A89831-6BC7-4CC0-A2C3-560F9A581E64} ILicenseInstaller

Zlob.Media-Codec Trojan Downloader more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\EMediaCodec.Chl
HKEY_CLASSES_ROOT\EMediaCodec.Chl\CLSID {6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_CLASSES_ROOT\Media-Codec.Chl
HKEY_CLASSES_ROOT\Media-Codec.Chl\CLSID {6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec ProductionEnvironment 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec DisplayName Media-Codec 4.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec UninstallString C:\Programme\Media-Codec\uninst.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec DisplayVersion 4.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec URLInfoAbout www.media-codec.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec Publisher Media-Codec Software
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ecodec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ecodec.exe blank

DoubleClick Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\stefan hinterholzer\cookies\stefan hinterholzer@doubleclick[1].txt

Swizzor Entfernung (aka völlig verseuchter Rechner)

Swizzor Entfernung (aka völlig verseuchter Rechner)

Ähnliche Themen

Wer ist online?