Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ habe trojanisches pferd aufm pc- wer kann helfen?

Geschrieben von: noel_gallagher 29.04.2006, 14:09

hallo
ich bekomme alle 5 minuten 3 meldungen von avast und eine von antivir wo mir mitgeteilt wird dass ich ein trojanisches pferd aufm pc habe. glücklicherweise kann es ihn abwehren jedoch möchte ich wissen was da überhaupt los ist und wie ich das problem lösen kann...
das sind die namen der malware:

Win32:Agent-IU [Trj]

Win32:Small-EK [Trj]

Win32:Adan-078 [Adw]

die meldung von antivir gibt keine auskunft über den namen der malware...

da ich keine ahnung von viren und mich allgemein mit dem pc nicht so gut auskenne hoffe ich dass mir hier jemand weiterhelfen kann

vielen dank!

Geschrieben von: raman 29.04.2006, 14:21

Poste einfach ein Hijackthis log und einen Report von Avast und antivir, wo sie etwas vermuten.
http://www.cidres-security.de/hijackthis.html

Geschrieben von: rock 29.04.2006, 14:22

lösch einmal alle temporären intenetfiles incl der offlineinhalte. wenn du den ccleaner hast am besten damit analysieren/starten...fertig.

dann im abgesicherten modus nocheinmal mit deinen scannern arbeiten.

oder du postest erstmal WO gemeldet wird, und welches betriebsystem du hast!

rock

edit: oder gleich den log von hijackthis...

ums andere wirst du aber nicht herumkommen...

Geschrieben von: bond7 29.04.2006, 14:22

Hast du schon nach den AV scanner ausgaben gegoogelt und hast du auch nachgesehen welche Datei genau da angemeckert wird ? wenn wir dir jetzt sagen "Ja lösch mal..." dann könnte ein Fehlalarm nach hinten losgehen.

Geschrieben von: noel_gallagher 02.05.2006, 07:50

hi,
erstmal danke für die vielen antworten!! Also hier ist der Hijackthis log: (hoffe ich habe das richtig gemacht...)
vielleicht sollte ich auch erwähnen das das problem nur auftaucht wenn ich online bin.

Logfile of HijackThis v1.99.1
Scan saved at 08:36:32, on 02.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1013642.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.10re/spyspottercabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

die funde der av-prüfung: hoffeauch hier dass ich das richtige gepostet habe...

C:\WINNT\system32\favset.exe
[FUND] Ist das Trojanische Pferd TR/Click.Small.KG
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44c947af.qua' verschoben!
C:\WINNT\system32\howiper.exe
[FUND] Ist das Trojanische Pferd TR/Small.HL
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44ca47c6.qua' verschoben!

Geschrieben von: bond7 02.05.2006, 08:38

wenn du keine Symantec Software drauf hast dann fixe das mal mit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
das dürften die bösen buben sein, geh in den abgesicherten modus und fixe das , bei bedarf die dateien extra noch löschen.

schicke die beiden letzteren dateien in deinem post mal bei http://virusscan.jotti.org/de/ und lasse sie darüber scannen und identifizieren.

Geschrieben von: noel_gallagher 02.05.2006, 10:30

@bond

tut mir leid aber ich habe kein wort verstanden

was heist "fixe das mal mit O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer "

was soll ich da machen?? wie soll ich das fixen??

und was heist das?
"O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
das dürften die bösen buben sein, geh in den abgesicherten modus und fixe das , bei bedarf die dateien extra noch löschen. "

wie soll ich das im abesicherten modus fixen? wie macht man das?
und wieso soll ich die letzten beiden dateien zu dem link schicken? was bringt mir das?

ich glaube du hast gemerkt dass ich total ahnungslos bin, bitte habe geduld mit mir

danke

Geschrieben von: Jens1962 02.05.2006, 10:46

Eintrag markieren und "fix checked" drücken.
Hast Du noch Software von Symantec auf dem Rechner? Dann könnte dieser Eintrag durchaus richtig sein.
http://www.bsi.de/av/texte/wiederher.htm
Vorher diese Dateien zu der angegebenen Adresse schicken und das Ergebnis mal hier reinkopieren.
Nach dem fixen nachsehen, ob die Dateien unter dem angegebenen Pfad noch zu finden sind (Windows-Explorer), wenn ja, dann löschen.

Gruß Jens

Geschrieben von: noel_gallagher 02.05.2006, 10:49

ich habe noch software von symantec aufm rechner. muss ich jetzt etwas anders machen?

ok was soll ich unter fixen verstehen? wenn ich im abgesicherten modus bin was soll ich dann genau machen?

ich habe versucht die dateien zu der adresse zu schicken habe sie aber nicht auf meinem rechner gefunden und konnte sie deshalb nicht schicken... was soll das bedeuten??

Geschrieben von: Jens1962 02.05.2006, 11:18

QUOTE(noel_gallagher @ 02.05.2006, 11:48)

ich habe noch software von symantec aufm rechner. muss ich jetzt etwas anders machen?

Ja, den Eintrag in Ruhe lassen.

QUOTE

ich habe versucht die dateien zu der adresse zu schicken habe sie aber nicht auf meinem rechner gefunden[right][snapback]146185[/snapback][/right]

Öffne mal den Windows-Explorer, Extras-->Ordneroptionen-->Ansicht.
Mache den Haken bei "Geschützte Systemdateien..." weg und setze den Haken bei "Inhalte von Systemordnern..." und den Punkt bei "Alle Dateien und Odner...".
Dann suchst Du nochmal.

Jens

edit: Hast Du http://www.rokop-security.de/index.php?showtopic=6782 gelesen?

Geschrieben von: Mopao 02.05.2006, 12:06

@noel_gallagher

Au deinem PC befindet sich wareout Rootkit Trojaner,der aktiv ist

Gruss
Mopao

Geschrieben von: noel_gallagher 02.05.2006, 13:41

QUOTE(Jens1962 @ 02.05.2006, 12:17)

Ja, den Eintrag in Ruhe lassen.Öffne mal den Windows-Explorer, Extras-->Ordneroptionen-->Ansicht.
Mache den Haken bei "Geschützte Systemdateien..." weg und setze den Haken bei "Inhalte von Systemordnern..." und den Punkt bei "Alle Dateien und Odner...".
Dann suchst Du nochmal.

Jens

edit: Hast Du http://www.rokop-security.de/index.php?showtopic=6782 gelesen?
[right][snapback]146189[/snapback][/right]

"Inhalte von Systemordnern..."steht bei mir nicht...
nein ich habe das nicht gelesen aber ich habe die beschreibung von hijackthis aufm link den raman gepostet hat gelesen. ich hoffe das reicht aus

@mopao: danke für die info. und wie bekomme ich ihn jetzt weg??

Geschrieben von: Mopao 02.05.2006, 13:44

QUOTE(noel_gallagher @ 02.05.2006, 15:40)

@mopao: danke für die info. und wie bekomme ich ihn jetzt weg??

Poste mal dein aktuelle HijackThis Log

Gruss
Mopao

Geschrieben von: noel_gallagher 02.05.2006, 13:49

den habe ich ja schon gepostet: er ist weiter oben...

Geschrieben von: Phoinix 02.05.2006, 14:39

Sach mal Noel, hast du 2 Virenscanner am laufen?

Geschrieben von: noel_gallagher 02.05.2006, 14:41

ja, ist das nicht gut? avast und antivir

Geschrieben von: Catweazle 02.05.2006, 15:17

QUOTE(noel_gallagher @ 02.05.2006, 15:40)

ja, ist das nicht gut? avast und antivir
[right][snapback]146213[/snapback][/right]

Das ist eben nicht gut, deinstalliere mal Avast, und lasse nur mal Antivir laufen.

Und poste aber erstmal ein frisches HijackThis Log.

Catweazle

Geschrieben von: Phoinix 02.05.2006, 15:17

Nein, da sich die Hintergrundwächter gegenseitig "stören" können. Du kannst schon 2 AV Programme auf deinem Rechner haben, nur sollte nicht beide mit aktivem Wächter sein.
D.h. für dich, schalte z.b. bei Avast den Hintergrundwächter aus, geht ja ganz einfach.

Geschrieben von: Catweazle 02.05.2006, 15:19

@ Phoinix

Entschuldigung.

Catweazle

Geschrieben von: Phoinix 02.05.2006, 15:25

QUOTE(Catweazle @ 02.05.2006, 16:18)

@ Phoinix
Entschuldigung.
[right][snapback]146223[/snapback][/right]

Für was denn, Cati?

Geschrieben von: noel_gallagher 02.05.2006, 15:26

aha ok. aber soll ich nun einen deinstallieren oder genügt es den hintergrundwächter auszuschalten?

Geschrieben von: Mopao 02.05.2006, 15:27

@noel_gallagher

Poste mal dein aktuelle HijackThis log,weiss nicht,was du bis jetzt gemacht hast

Gruss
Mopao

Geschrieben von: Phoinix 02.05.2006, 15:36

QUOTE(noel_gallagher @ 02.05.2006, 16:25)

aha ok. aber soll ich nun einen deinstallieren oder genügt es den hintergrundwächter auszuschalten?
[right][snapback]146227[/snapback][/right]

Schalte vorerst mal den Http Scanner und den Hintergrundwächter von Avast! aus. Und dann mach bitte das was Mopao geschrieben hat.

Geschrieben von: noel_gallagher 02.05.2006, 15:38

hm wie schalt ich den jetzt aus bei avast?? und den http scanner- wie schalt ich den aus?

Geschrieben von: noel_gallagher 02.05.2006, 15:45

ok hier ist mittlerweile der hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:51:51, on 02.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1013642.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.10re/spyspottercabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Geschrieben von: noel_gallagher 02.05.2006, 15:50

ahh ok jetzt sehe ich die hijackthis results und da kann man die dateien markieren die man löschen (fixen) will. ok das hab ich jetzt kapiert...also soll ich den computer nochmal im abesicherten modus starten und dann nochmal die hijackthis prüfung machen und dann die zwei dateien löschen die bond7 auf der vorhergehenden seite als die "bösen buben" gesichtet hat??

Geschrieben von: Phoinix 02.05.2006, 15:53

Hm, mal nach Gedächtniss...

Rechtsklick auf das Avast! Symbol in der Taskleiste, dann auf On Access Steuerung, hier kannst die einzelnen Provider anhalten... Klicke auf das Http Symbol, dann auf Verwerfen und bestätigen, danach das selbe Spiel mit dem Hintergrundwächter, das wars.

Geschrieben von: noel_gallagher 02.05.2006, 15:58

hm ehrlich gesat würde ich lieber antivir deinstallieren da mir die meldung vom virus immer von avast kommt. also würdich lieber von antivir den provider anhalten...oder ist das egal? ich mein wenn ich von avast das machen dann riskiere ich nicht dass der virus durchkommt???

Geschrieben von: Phoinix 02.05.2006, 16:02

Das kannst du natürlich auch bei Antivir machen.

Geschrieben von: noel_gallagher 02.05.2006, 16:04

ok. kann ich da einfach den antivir guard deaktivieren?

Geschrieben von: Phoinix 02.05.2006, 16:16

Jep.

Geschrieben von: Mopao 02.05.2006, 16:16

@noel_gallagher

#In der Systemsteuerung/software folgende falls vorhanden deinstallieren
altnet

#Lade dir http://siri.urz.free.fr/Fix/SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen.

#Lade dir http://www.ewido.net/de/download unbeding Update,noch nicht scannen.

Lade dir http://downloads.subratam.org/Fixwareout.exe auf dem Desktop speichern & doppelklick auf sie,klicke auf Next, dann Install,Run fixit muss markiert werden und klicke dann auf Finish.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1013642.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/...rcabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
c:\program files\altnet
C:\WINNT\vqnwjiz.exe
C:\WINNT\system32\hgqhp.exe

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AltnetPointsManager"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vqnwjiz"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hgqhp.exe"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zpmodemsysntdrvnt]

[-HKEY_LOCAL_MACHINE\SOFTWARE\altnet]

3. Speichere die Datei als Fix.reg auf Desktop
4.Doppel klick auf diese Datei Fix.reg

#PC neustarten--> abgesicherter Modus
#Starte http://www.ewido.net/de/download mach ein voller Scan (Complete System Scan)

#Inhalt folgende ordner loeschen:
C:\WINNT\temp---> Inhalt löschen

Unter Start/Ausführen folgende Befehl eingeben: cmd ok dann öffnet ein Kommandofenster.Danach folgende Befehl eingeben und Eingabetaste drücken:
sc delete ZPMODEMSYSNTDRVNT
#Loesche:
C:\WINNT\SYSTEM32\DRIVERS\zpmodemnt.sys

#Alle wichtigten Passwärter ändern

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neue HijackThis Log, den Report des Ewido Scans, den Inhalt der Datei C:\fixwareout\report.txt posten.

Gruss
Mopao

Geschrieben von: noel_gallagher 02.05.2006, 16:17

wow! das klingt kompliziert! wieso muss ich denn jetzt das alles machen? ist das der einzige weg um das problem total zu lösen? ich mein die lösungen vorher haben doch um einiges leichter geklungen? tuns die auch? (pc im abesicherten modus starten und dann nochmal scan und löschen...)
vielen dank für deine auflösung...

Geschrieben von: noel_gallagher 02.05.2006, 16:23

ich mein vielleicht erscheint es jetzt auch komplizierter als es im endeffekt ist...

Geschrieben von: Universum 02.05.2006, 16:31

QUOTE(noel_gallagher @ 02.05.2006, 17:22)

ich mein vielleicht erscheint es jetzt auch komplizierter als es im endeffekt ist...
[right][snapback]146259[/snapback][/right]

Kleiner Tipp von mir: druck die Anleitung von Mopao aus. Arbeite die Anleitung Schritt für Schritt ab und setze hinter die erledigten Dinge einen Haken. Das hilft ungemein. Ich weiß das aus Erfahrung.
mfg

Geschrieben von: Mopao 02.05.2006, 16:34

QUOTE(noel_gallagher @ 02.05.2006, 18:16)

wow! das klingt kompliziert! wieso muss ich denn jetzt das alles machen?

QUOTE(noel_gallagher @ 02.05.2006, 18:16)

ist das der einzige weg um das problem total zu lösen?

JA oder PC neuaufstzen

PS:Was ist da kompliziert?Alles ist leicht geschrieben & einfach,was hier einbißen dauert ist nur Ewido Scann
wenn du fragen hast wieder melden

Gruss
Mopao

Geschrieben von: noel_gallagher 02.05.2006, 16:36

nein es ist nicht kompliziert nur eben scheint es als wäre es ein langer weg! Es hatte auf der vorhergehenden seite nur den anschein dass es auch einfacher gehen würde den virus zu entfernen..

Geschrieben von: Domino 02.05.2006, 16:37

QUOTE

wenn ihr mir sagt das das der einzige weg ist dann bin ich sehr dankbar und werde es so machen

Das ist der einzige Weg.

Domino

Geschrieben von: noel_gallagher 02.05.2006, 16:39

QUOTE(Domino @ 02.05.2006, 17:36)

Das ist der einzige Weg.
Domino
[right][snapback]146266[/snapback][/right]

ok danke

Geschrieben von: Catweazle 02.05.2006, 20:44

@ noel_gallagher

Wie hast du denn gEnau dein Problem gelöhst ?

Catweazle

Geschrieben von: noel_gallagher 02.05.2006, 20:47

ich habs noch nicht gelöst. ich werde die schritte machen die von mopao gepostet wurden und dann schaun was passiert...

Geschrieben von: Catweazle 02.05.2006, 21:01

QUOTE(noel_gallagher @ 02.05.2006, 21:46)

ich habs noch nicht gelöst. ich werde die schritte machen die von mopao gepostet wurden und dann schaun was passiert...
[right][snapback]146331[/snapback][/right]

Na dann mach das Bitte, am besten sofort, du willst ja ein Gesundes System am laufen haben, oder ?

Catweazle

Geschrieben von: noel_gallagher 04.05.2006, 10:57

so, nachdem der bildschirm gestern plötzlich seinen geist aufgegeben hat und ich einen neuen gekauft habe (glaube nicht das das wegen dem virus passiert ist) habe ich nun alles gemacht.
doch bevor ich das ergebnis poste möchte ich wissen welche "wichtigen passwörter" zu löschen wären? ich mein passwörter von was z.B.?
danke!

Geschrieben von: Jens1962 04.05.2006, 11:03

Alle Paßworte, die Du irgendwo im Web verwendest. Ganz wichtig Online-Banking & Co, aber auch sonstige Zugangsdaten (Web, Mail, Shopping...).
Sollte man sowieso gelegentlich machen. Ich hoffe, Du verwendest unterschiedliche PW?

Jens

Geschrieben von: Domino 04.05.2006, 11:06

Und bevor du dir einfach zu merkende Passwörter nimmst, schreib die lieber auf und nimm richtige. Also nicht "qwert" oder "123" sondern "Hn7UtfD99H6".

Domino

Geschrieben von: noel_gallagher 04.05.2006, 13:37

ok alles klar. aber kann man die passwörter anhand der von mir hier geposteten "sachen" erkennen-sehen?? ich mein wenn ich sie nicht vorher änder? und wieso soll ich eigentlich kompliziertere passwörter nehmen?? es wird wohl niemand lang umherprobieren sie zu "knakken" oder? ok 123 wär wirklich zu blöd aber einen namen den ich mir merken kann wird wohl nicht zu riskiös sein oder?

Geschrieben von: Universum 04.05.2006, 14:08

Hallo,
lies dir mal diese Seite durch, dann wirst du hoffentlich anders darüber denken.
http://www.mathematik.uni-ulm.de/admin/passwd.html
mfg

Geschrieben von: noel_gallagher 04.05.2006, 16:20

ja schon klar dass es besser wäre kompliziertere passwörter als joghurt zu haben. Aber meine frage war eigentlich wieso ich alle meine passwörter ändern sollte? ich mein wieso gerade jetzt bevor ich den hijacklog usw poste...

Geschrieben von: 2cool 04.05.2006, 17:12

QUOTE(noel_gallagher @ 04.05.2006, 17:19)

meine frage war eigentlich wieso ich alle meine passwörter ändern sollte?
ich mein wieso gerade jetzt bevor ich den hijacklog usw poste...[right][snapback]146643[/snapback][/right]

Das hat mit dem Log weniger zu tun.

Es ist nur so, dass es möglich ist, dass jemand Deine Passwörter kennt.
Nämlich die Person(en), die für die Malware auf Deinem PC verantwortlich sind.

Je länger Du damit wartest, Deine Passwörter zu überprüfen und zu ändern,
um so grösser ist die Chance, dass ein Missbrauch stattfindet.

Geschrieben von: Universum 04.05.2006, 17:15

@noel_gallagher
Hast du diese Anweisung
http://www.rokop-security.de/index.php?showtopic=11392&view=findpost&p=146255 schon abgearbeitet? Wenn nein, dann solltest du schnellstens damit beginnen.
Und sieh mal, erst am Ende steht, dass die Passwörter geändert werden sollten. Dein Rechner ist möglicherweise in fremder Hand. Derjenige kann allerlei Unsinn ggfls. sogar strafbewährte Dinge damit anstellen.
mfg

Geschrieben von: noel_gallagher 04.05.2006, 17:33

ja ich hab schon alles gemacht. ich hatte nur angst das ergebnis zu posten weil ich dachte dass ich vorher die passwörter ändern muss (aus welchem grund auch immer)...aber wenn dass nichts miteinander zu tun hat dann werde ich sofort alles posten was mopao als ergebnis bezeichnet hat...

Geschrieben von: Manu 04.05.2006, 17:34

Schreib.

Geschrieben von: noel_gallagher 04.05.2006, 17:39

kann mir jemand sagen wo ich den ewido report des letzten scans finden kann (habe ihn heute nachmittag gemacht...)

Geschrieben von: Anubis 04.05.2006, 17:45

Arbeitsplatz > dann C ( bzw. eben auf der Platte, auf der Du ewido installiert hast ) > Programme > ewido > reports und da sollte er dann drinnen stehen.

Geschrieben von: noel_gallagher 04.05.2006, 17:51

also hier der hijack log ewido scan und der inhalt der datei...:

HIJACKTHISLOG:

Logfile of HijackThis v1.99.1
Scan saved at 18:57:16, on 04.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

EWIDO SCAN REPORT:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:45:37, 04.05.2006
+ Report-Checksumme: 175B0A9B

+ Scanergebnis:

HKLM\SOFTWARE\Classes\MediaAccX.Installer -> Adware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MediaAccX.Installer\CLSID -> Adware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\YSBactivex.Installer.1 -> Adware.YourSiteBar : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav -> Adware.KeenValue : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav\BHO -> Adware.KeenValue : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav\BHO\HomePage -> Adware.KeenValue : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav\BHO\RedirectURLS -> Adware.KeenValue : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@112.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ad.71i[1].txt -> TrackingCookie.71i : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@adopt.specificclick[2].txt -> TrackingCookie.Specificclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ads1.revenue[1].txt -> TrackingCookie.Revenue : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@axa.addcontrol[2].txt -> TrackingCookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@axelspringer.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@bfast[2].txt -> TrackingCookie.Bfast : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@c1.zedo[1].txt -> TrackingCookie.Zedo : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@casalemedia[2].txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cbs.112.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cnn.122.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@com[2].txt -> TrackingCookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@counter.hitslink[2].txt -> TrackingCookie.Hitslink : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz4.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz5.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz6.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz7.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz8.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@doubleclick[2].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4coczcdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4emd5ehp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4ggazgkp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4kncpefo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4qpcpgbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkicjcpwlo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiclcjwcp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkicmcpaco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkicndpoeo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiehdzwao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkigoc5cho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkikgczgbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkikoc5sdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiokdjgfq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiqoc5ekp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiwhcpgfo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoajczgao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoandzcko.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoegajsap.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoepc5igp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkokidpadq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoopazweq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoqlazslq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkosmc5wcq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkowocjgap.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyajajico.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyancpmao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyapczifo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkycpazihp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkygjdzggo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyuoazsgo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyupdpaho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4aidpwkq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4cnazsbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4kgdzghq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4okdjkbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4qlc5sap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflicodjifq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflikjcpmho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflikodjilq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflooodjwfp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfloskc5cfq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflyohdzafo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiamdjidp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmianajako.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmicpdpmcp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiemcjglq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmikhajalo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmikhdjikp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiqlajgcp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiulcjwbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiwgazeeq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiwmazsko.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmyghczaeq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmyulczaaq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgk4qmd5elp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgk4wldjokp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkiehdpkkp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkiooajwgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkisjdpkbp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkislajmbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkiuldpaep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkoekczafq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkyskdjidp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkyuodpekp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgl4cld5geo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4cmcjwgo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4ggczeaq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4gmdpibp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4kpdpakp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4okdzikp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4uldjkco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkocgajelp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoehczgaq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkognczwap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoohdzego.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoopd5adp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoulcjidq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoumajscq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkowjdjado.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkycgdpkep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkychc5kkp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkykgdzmdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkyoidzsep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkyqkazmlp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkysjazscq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkysjd5mbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4cidpglp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4cnajsao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4gmc5efq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4qldjmbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4qodjccp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4whdpsdq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliciczshq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliejdpwgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjligmazwao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliqhcpwgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliqnazmco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlisodzmbp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloekdzggp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlokhajmdp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlokpdzsao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloqocpclq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloskd5ekp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloslazalo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlosnajeeo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyclc5oho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlygkdzkdp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyopdzafp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyuhcpkbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyuidjggp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiaic5aep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmicldjoeq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmicodjiap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmienazglq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmioiazkbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiqjdpado.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmishcpkeq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiujd5ako.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiuld5mdp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiwldpolq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmyaiazieo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmychdjalp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmyckcjcbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmycpdzmap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyakd5sho.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnycgc5wdp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnycidpsdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnycndzoho.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyelc5kgo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnygmcjodp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyogc5oeo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyoidzeap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyoldzeeo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyqmdjgfp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyskc5cap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnywjc5cgp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnywlczcfq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ehg-dig.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ehg-idg.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ehg-viacom.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@emimusic.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@gettyimages.122.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@image.masterstats[1].txt -> TrackingCookie.Masterstats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@komtrack[1].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@max.i12[1].txt -> TrackingCookie.I12 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@media.fastclick[1].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@metacafe.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@oewabox[2].txt -> TrackingCookie.Oewabox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@paycounter[1].txt -> TrackingCookie.Paycounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@paypopup[2].txt -> TrackingCookie.Paypopup : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@polo.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ppms.popularix[2].txt -> TrackingCookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@primediabusiness.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@questionmarket[2].txt -> TrackingCookie.Questionmarket : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@reduxads.valuead[2].txt -> TrackingCookie.Valuead : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@sales.liveperson[1].txt -> TrackingCookie.Liveperson : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@sel.as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@servedby.advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@sonymediasoftware.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@spylog[1].txt -> TrackingCookie.Spylog : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@stat.onestat[2].txt -> TrackingCookie.Onestat : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@tacoda[1].txt -> TrackingCookie.Tacoda : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@targetnet[1].txt -> TrackingCookie.Targetnet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@tfag[1].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@thestar.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@trafficcenter[1].txt -> TrackingCookie.Trafficcenter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@trafic[1].txt -> TrackingCookie.Trafic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@vip.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@vip2.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@www.etracker[1].txt -> TrackingCookie.Etracker : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@www.myaffiliateprogram[1].txt -> TrackingCookie.Myaffiliateprogram : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@yadro[1].txt -> TrackingCookie.Yadro : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@zedo[1].txt -> TrackingCookie.Zedo : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Eigene Dateien\My Download Files\fußball -> Dialer.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Eigene Dateien\My Download Files\fußball2 -> Dialer.Generic : Gesäubert mit Backup
C:\Programme\PerfectNav -> Adware.PerfectNav : Gesäubert mit Backup
C:\Programme\PerfectNav\BHO -> Adware.PerfectNav : Gesäubert mit Backup
C:\Programme\PerfectNav\BHO\PerfectNav150.dll -> Adware.PerfectNav : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\1013642.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\1168296.exe -> Dialer.Delf.d : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\CONFLICT.1\1013642.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\CONFLICT.2\SET48.tmp -> Heuristic.Win32.Dialer : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\SET83.tmp -> Trojan.Dialer.gu : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Gesäubert mit Backup

::Report Ende

INHALT DER DATEI.....

Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal

Geschrieben von: 2cool 04.05.2006, 18:07

An dem Ewido-Log sieht man gut, was ich http://www.rokop-security.de/index.php?showtopic=11360&view=findpost&p=145277 gemeint habe.

Geschrieben von: Universum 04.05.2006, 18:22

@noel_gallagher
Es ist schon sehr wichtig, dass du dich exakt an die Anleitung hältst. Sonst könnte da was in die viel zitierte Hose gehen.

Nur mal ein Auszug aus der Anweisung von Mopao

QUOTE

@noel_gallagher

#In der Systemsteuerung/software folgende falls vorhanden deinstallieren
altnet ==> Hast du das gemacht?

#Lade dir SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen. ==> Hast du das gemacht?

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen. ==> Hast du doch schon gemacht!

Lade dir Fixwareout.exe auf dem Desktop speichern & doppelklick auf sie,klicke auf Next, dann Install,Run fixit muss markiert werden und klicke dann auf Finish.==> Hast du das gemacht?

Genau aus diesem Grund hatte ich dir empfohlen, die Anleitung auszudrucken und Schritt für Schritt abzuarbeiten. Wenn du deinen Rechner wieder sauber haben möchtest, ist es sehr sehr wichtig vernünftig mitzuarbeiten.
mfg

Edit an die Mods: Warum erscheint dieser Beitrag nicht im Thread als letzter Beitrag?
Der letzte Beitrag ist von 2cool von 19:06 Uhr

Geschrieben von: Mopao 04.05.2006, 18:33

@noel_gallagher

Hast du alles gemacht wie geschrieben?Hast du noch probleme?

Folgende Einträge im abgesicherter Modus Fixen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184

PC neustarten & nuer HijackThis log posten

Gruss
Mopao

Geschrieben von: noel_gallagher 04.05.2006, 19:06

@mopao:
ja ich habe alles genau gemacht wie beschrieben. Jetzt habe ich keine probleme mehr- der virus scheint weg zu sein.
aber folgendes lief nicht nach plan:

1. beim ersten hijacks scan konnte diese einträge nicht finden..und somit nicht fixen

O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184

2. danach beim neustart konnte ich alle 3 dateien (c:\program files\altnet
C:\WINNT\vqnwjiz.exe C:\WINNT\system32\hgqhp.exedie) du mir aufgelistet hast nicht finden und somit auch nicht löschen

3. "Unter Start/Ausführen folgende Befehl eingeben: cmd ok dann öffnet ein Kommandofenster.Danach folgende Befehl eingeben und Eingabetaste drücken:
sc delete ZPMODEMSYSNTDRVNT
#Loesche:
C:\WINNT\SYSTEM32\DRIVERS\zpmodemnt.sys"

diese Datei konnte auch nicht gefunden werden und somit auch nicht gelöscht werden.
Also diese 3 sachen sind mir bewusst. wenn ich ansonsten etwas falsch gemacht habe oder etwas nicht funktioniert hat dann ist es mir nicht aufgefallen.

@universum
ähm ich will dir ja nicht zu nahe treten aber ich habe alles was du fettgedruckt mit "hast du das gemacht?" gekennzeichnet hast, effektiv auch gemacht! keine ahnung ob ichs richtig gemacht habe aber ich denke schon denn es hat eigentlich alles gut funktioniert, so wies mopao aufgeschrieben hat....

Geschrieben von: Mopao 04.05.2006, 19:17

@noel_gallagher

Alles ist OK,ja du hast alles gut gemacht,sehe schon,Poste noch mal dein aktuelle HijackThis log

Gruss
Mopao

Geschrieben von: noel_gallagher 04.05.2006, 19:29

ok also hier ist der aktuelle hijackslog:

diesen eintrag konnte ich wieder nicht finden...
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184

Logfile of HijackThis v1.99.1
Scan saved at 20:36:26, on 04.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Geschrieben von: Universum 04.05.2006, 19:32

QUOTE(noel_gallagher @ 04.05.2006, 20:05)

@universum
ähm ich will dir ja nicht zu nahe treten ...
[right][snapback]146676[/snapback][/right]

Keine Sorge, so empfindlich bin ich nicht.

mfg

Geschrieben von: noel_gallagher 04.05.2006, 19:35

alles klar

Geschrieben von: Universum 04.05.2006, 19:49

In deinem HJT-Log vom

QUOTE

Scan saved at 16:51:51, on 02.05.2006

waren es noch fünf 017-Einträge:

QUOTE

O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184

Dieser ist lt. dem neuesten Log noch übrig geblieben

QUOTE

O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184

hast du den vielleicht übersehen?
Ist übrigens ein Server in der Ukraine

QUOTE

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

mfg

Geschrieben von: Mopao 04.05.2006, 19:49

QUOTE(noel_gallagher @ 04.05.2006, 21:28)

ok also hier ist der aktuelle hijackslog:

diesen eintrag konnte ich wieder nicht finden...
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
Logfile of HijackThis v1.99.1
Scan saved at 20:36:26, on 04.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
[right][snapback]146681[/snapback][/right]

Den Eintrag im normaler Modus fixen

PC neustarten & nuer HijackThis log posten

Gruss
Mopao

Geschrieben von: noel_gallagher 04.05.2006, 19:52

hm, nein also beim letzten hjt log war 100% kein 017 dabei...und ich hab ja schon vorher geschrieben dass ich auch beim hjt log den ich heut nachmittag gemacht habe diesen 017 eintrag nicht gefunden habe obwohl ich danach gesucht habe da mopao ihn ja schon in seiner anweisung zum löschen freigegeben hat...

Geschrieben von: noel_gallagher 04.05.2006, 19:53

was hab ich den wirklich übersehn.. äußerst komisch! naj a ok also fix ich ihn jetzt

Geschrieben von: noel_gallagher 04.05.2006, 20:04

Logfile of HijackThis v1.99.1
Scan saved at 21:12:16, on 04.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis\HijackThis.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Geschrieben von: noel_gallagher 04.05.2006, 20:07

QUOTE(Universum @ 04.05.2006, 20:48)

hast du den vielleicht übersehen?
Ist übrigens ein Server in der Ukraine

mfg
[right][snapback]146692[/snapback][/right]

verdammte ukrainer!!

Geschrieben von: noel_gallagher 04.05.2006, 20:08

hm ich seh gerade dass der 017 immer noch da ist...

Geschrieben von: noel_gallagher 04.05.2006, 20:19

also..whats next??

Geschrieben von: Mopao 04.05.2006, 20:49

@noel_gallagher

Hast den O17 Eintrag übersehen oder wie?

Gruss
Mopao

Geschrieben von: Jens1962 05.05.2006, 06:43

QUOTE(noel_gallagher @ 04.05.2006, 21:07)

hm ich seh gerade dass der 017 immer noch da ist...[right][snapback]146701[/snapback][/right]

Also ein Versuch mit Handarbeit.
Start-->Auführen-->regedit (eintippen)-->OK
In dem Programmfenster, daß sich öffnet, Rechtsklick auf Arbeitsplatz-->Exportieren-->Name vergeben (z.B. Registry)-->Speichern. Wenn alles funktioniert, dann kannst Du die Datei später wieder löschen.
Jetzt hangelst Du Dich bis zu dem angegebenen Pfad durch (HKEY_LOCAL_MACHINE\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184) und löschst den Eintrag. Falls es nicht gehen sollte, nochmal im abgesicherten Modus probieren.
Vorsicht! Lösche wirklich nichts anderes. Du bist in der Registry und kannst ziemlich viel zur S.. machen - dafür hast Du zur Sicherheit in Schritt 1 die Registry gesichert.
OK?

Gruß Jens

@Mopao
Hast Du nun begriffen (s. Log), daß es alles andere als egal ist, wann man temp-Ordner leert?

Geschrieben von: Mopao 05.05.2006, 08:46

QUOTE(Jens1962 @ 05.05.2006, 08:42)

Gruß Jens

@Mopao
Hast Du nun begriffen (s. Log), daß es alles andere als egal ist, wann man temp-Ordner leert?

Das hat nicht mit Begriffen ode Log zu tun,haben wir schon mal darüber diskutiert,jeder hat sein Entfernung Methode,einige Tolls machen das alleine wie z.B SmitfraudFix oder SmitRem.exe.

Gruss
Mopao

Geschrieben von: noel_gallagher 05.05.2006, 19:03

QUOTE(Mopao @ 04.05.2006, 21:48)

@noel_gallagher

Hast den O17 Eintrag übersehen oder wie?

Gruss
Mopao
[right][snapback]146711[/snapback][/right]

ja zuerst scheinbar schon (auch wenn ich wirklich ganz genau geschaut habe und er war nicht da...). Aber dann hab ich eben den hjl nochmal gemacht und ihn gelöscht.
doch dann war er wieder da, keine ahnung wieso...kann mir das jemand erklären??
@ jens
ok da ich jetzt leider schnell weg muss werd ich morgen genau das machen was du mir beschrieben hast- vielen dank!

Geschrieben von: bond7 05.05.2006, 19:10

welchen Internet Service Provider hast du denn ? vll. ist das ja auch echt was dort steht mit der ukrainischen Nameserver-IP (DNS) .

Geschrieben von: noel_gallagher 07.05.2006, 07:55

QUOTE(Jens1962 @ 05.05.2006, 07:42)

also, wenn ich rechtsklick auf arbeitsplatz mache dann kommt nur "ausblenden"... und wie soll ich in schritt eins die registry sichern??

Geschrieben von: raman 07.05.2006, 09:09

Bei dieser Art von DNSchanger ist oft ein Rootkit mit dabei. Daher musst du Blacklight nutzen:
http://www.f-secure.com/blacklight/try.shtml

Herunterladen, in einen extra Ordner packen, starten, "AGB" akzeptierenm Scan druecken, solange next druecken bis nur noch close angeboten wird. Nun befindet sich im gleichen Ordner eine LOG Datei. Den Inhalt bitte hier posten.

Geschrieben von: Jens1962 07.05.2006, 09:56

QUOTE(noel_gallagher @ 07.05.2006, 08:54)

wie soll ich in schritt eins die registry sichern??[right][snapback]147048[/snapback][/right]

Hast Du Admin-Rechte?

Jens

Geschrieben von: noel_gallagher 07.05.2006, 18:27

ok nur eine frage: ichmein wieso mach ich das überhaupt? um diesen 017 eintrag wegzubekommen? aber der virus ist ja schon weg...

@jens
keine ahnung! wie weis ich das?

Geschrieben von: raman 07.05.2006, 18:35

Nutze Blacklight und wir sehen, ob die Malware wirklich weg ist.............

Geschrieben von: noel_gallagher 08.05.2006, 09:57

QUOTE(raman @ 07.05.2006, 10:08)

ich habe das jetzt gemacht, habe aber vergessen in einen extra ordner zu packen. kann ich das ergebnis trotzdem irgendwie posten und wenn nicht wie packe ich das in einen extra ordner??

Geschrieben von: raman 08.05.2006, 10:09

Druecke einfach mit der rechten Maustaste auf "Download Blacklight Beta " und waehle dort "Ziel speichern unter" dann kannst du den Ordner waehlen und von dort starten.

Geschrieben von: noel_gallagher 08.05.2006, 11:56

ok hier ist der inhalt:

05/08/06 12:54:44 [Info]: BlackLight Engine 1.0.36 initialized
05/08/06 12:54:44 [Info]: OS: 5.0 build 2195 (Service Pack 4)
05/08/06 12:54:46 [Note]: 7019 4
05/08/06 12:54:46 [Note]: 7005 0
05/08/06 12:54:56 [Note]: 7006 0
05/08/06 12:54:56 [Note]: 7011 864
05/08/06 12:54:57 [Note]: 7026 0
05/08/06 12:54:57 [Note]: 7026 0
05/08/06 12:55:43 [Note]: FSRAW library version 1.7.1015
05/08/06 13:01:45 [Note]: 2000 1006
05/08/06 13:02:44 [Note]: 7007 0

Geschrieben von: raman 08.05.2006, 15:55

Das Ergebniss passt mir garnicht, alles sauber!

Fix diesen "O17" Eintrag bitte im abgesicherten Modus, sollte das nicht ausreichen, geben bitte unter Start/Ausfuehren
"ipconfig /renew" ohne die " ein und druecke enter.

Geschrieben von: noel_gallagher 08.05.2006, 15:58

wie weis ich obs ausreicht oder nicht? wenn im hjl er noch aufscheint danach??

Geschrieben von: raman 08.05.2006, 16:09

Ein "O17" Eintrag darf auftauchen, aber nicht diese IP Adresse!

Geschrieben von: noel_gallagher 09.05.2006, 08:23

Logfile of HijackThis v1.99.1
Scan saved at 09:22:28, on 09.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Geschrieben von: noel_gallagher 09.05.2006, 08:24

ich musste gar nichts fixen, der 017 eintrag war schon weg...kann das sein? oder habe ich was falsch gemacht? ich bin einfach in abg. modus gegangen und habe den hjl gemacht und dann gespeichert und hier eingefügt...

Geschrieben von: raman 09.05.2006, 08:37

Das passt schon so wie es ist...... Du bist als geheilt entlassen!

Geschrieben von: noel_gallagher 09.05.2006, 09:10

super!

Geschrieben von: noel_gallagher 09.05.2006, 09:11

ok aber noch ne frage: ich hab doch eine menge sachen installiert usw. (siehe mopaos beitrag). was kann ich den von dem jetzt wieder löschen und ich hab ja immer noch 3 antivirus programme oben (awast, ewido und antivir) welchen soll ich benutzen. und soll ich irgendwelche einstellungen wieder ändern??

Geschrieben von: raman 09.05.2006, 09:16

ewido kannst du weiterhin als 2. Scanner nutzen, wenn du willst, ansonsten liegt es an dir, ob du Antivir oder Avast nutzen moechtest. Ich persoenlich findet Antivir uebersichtlicher, resourcenschonender und vor allem aktualisieren sie ihre Datenbank schneller und oeffter als Avast. Nachteil, es erkennt keine Adware. Mit Avast machst du aber auch nichts falsch.

Geschrieben von: noel_gallagher 09.05.2006, 10:34

ok cool. aber kann ich von dem ganzen zeug dass ich sonst noch installiert habe was löschen? ich mein alles was mopao gesagt hat...
achja und wie deinstalliert man eigentlich so programme? gibs da ne bestimmte vorgehensweise? unster systemsteuerung oder so?

Geschrieben von: raman 09.05.2006, 10:37

Ja, immer Systemsteuerung/Software dazu nutzen!

Den Smitfraudfix Ordner und die fixwareout Datei kannst du einfach loeschen

Geschrieben von: noel_gallagher 09.05.2006, 10:50

ok super!
also danke an alle die hier so freundlich waren und mich von dem ungarischen ungeziefer befreit haben
und weiterhin viel spaß hier im forum an euch! tschüs

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)