Problem ???

S

Stefan G.

New member
Hallo,

hatte Viren Alarm - mit AntiVir gelöst. Hoffentlich!! Habe dann Spybot installiert und ausgeführt. Hat diverse Einträge gefunden und gelöscht. Hatte im Explorer plötzlich so eine komische "Toolbar" - hat Spybot aber auch gelöscht. Hatte ich zwar vorher schon unter der Addon Verwaltung des IE deaktiviert aber nun ist se weg. Nun wird mir unter "BHOs" ein Eintrag in rot angezeigt. Der läßt sich zwar löschen, ist nach dem Neustart aber immer wieder da. Auch dieser Eintrag findet sich (2x) in der Addon Verwaltung des IE (Browserhilfsobjekt und Symbolleiste). Der Eintrag ist wie gesagt nach Neustart immer wieder da und besagt laut exportiertem Report folgendes:


{08BEC6AA-49FC-4379-3587-4B21E286C19E} ()
BHO name:
CLSID name:
Path:
Long name: __BHODemonDisabled

Kann jemand helfen die Einträge dauerhaft zu löschen?

Vielen Dank!
 
Problem noch nicht gefixt !!

Hallo Ralf,

Vielen Dank für die Hilfe - habe alles genau befolgt, und zusätzlich die Reg noch nach diesem Schlüßel dursucht. Noch 3 Einträge gefunden und auch gelöscht. Die Addon Verwaltung vom IE ist nun "sauber". Leider zeigt mir Spybot den Eintrag immer noch an. Auch nach dem erneuten löschen und Neustart ist der Eintrag immer noch in rot vorhanden.

Hast Du noch eine Idee? Was bewirkt dieses "teil" eigentlich?

Habe noch ein Problem, eine Datei mit Namen "sqlite_qit4QvCxtwnYiE8" im Windows Temp Ordner läßt sich nicht öffnen und löschen. Wird jeden Tag neu erstellt, und immer benutzt. Kann das was damit zu tun haben?

Gruß Stefan
 
Log Files

Hallo,

Logfile of HijackThis v1.98.2
Scan saved at 20:57:10, on 11.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: GameCommander.lnk.disabled
O4 - Global Startup: ISDNWatch.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132926479593
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DE02EB0-0133-4B4E-B84B-978167696159}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B3A51EC-B653-410A-8382-95E853D886B8}: NameServer = 85.255.116.170 85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E2E1DCB-4377-45C0-95AE-2599D0E6284B}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{606DAE63-94C2-4800-9179-A6C43D96B49D}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{7803414A-F830-43BD-94EB-0208D2108F19}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{8120E958-B946-4348-A348-A106164F5CA1}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{873D459E-6428-4CA5-95FB-45D8968F10F9}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B85D86F-3946-4B98-A2C1-7FE9DA3300CC}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABA4E0B8-793B-42ED-9D4C-44D03FEA91AA}: NameServer = 85.255.116.170,85.255.112.213


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-10 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-07 Includes\Cookies.sbi
2006-04-07 Includes\Dialer.sbi
2006-04-07 Includes\Hijackers.sbi
2006-04-07 Includes\Keyloggers.sbi
2006-04-07 Includes\Malware.sbi
2006-04-07 Includes\PUPS.sbi
2006-04-07 Includes\Revision.sbi
2006-04-07 Includes\Security.sbi
2006-04-07 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2006-04-07 Includes\Trojans.sbi

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
BHO name:
CLSID name: AcroIEHlprObj Class
description: Adobe Acrobat reader
classification: Legitimate
known filename: AcroIEhelper.ocx<br>AcroIEhelper.dll
info link: http://www.adobe.com/products/acrobat/readstep2.html
info source: TonyKlein
Path: C:\Programme\Adobe\Acrobat 7.0\ActiveX\
Long name: AcroIEHelper.dll
Short name: ACROIE~1.DLL
Date (created): 23.09.2005 22:12:08
Date (last access): 10.04.2006 22:31:52
Date (last write): 23.09.2005 22:12:08
Filesize: 63136
Attributes: archive
MD5: B61D5D651ECC6055C29BF826CA7B1141
CRC32: FEF15799
Version: 7.0.5.172

{08BEC6AA-49FC-4379-3587-4B21E286C19E} ()
BHO name:
CLSID name:
Path:
Long name: __BHODemonDisabled

{53707962-6F74-2D53-2644-206D7942484F} ()
BHO name:
CLSID name:
description: Spybot-S&D IE Browser plugin
classification: Legitimate
known filename: SDhelper.dll
info link: http://spybot.eon.net.au/
info source: Patrick M. Kolla
Path: C:\PROGRA~1\SPYBOT~1\
Long name: SDHelper.dll
Short name:
Date (created): 10.04.2006 08:12:28
Date (last access): 10.04.2006 22:26:10
Date (last write): 31.05.2005 01:04:00
Filesize: 853672
Attributes: archive
MD5: 250D787A5712D7768DDC133B3E477759
CRC32: D4589A41
Version: 1.4.0.0
 
log file

Hallo,

sieht verdammt lang aus - waren das die richtigen?

--- Report generated: 2006-04-10 22:11 ---

CoolWWWSearch: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\Interface\{B1E68D42-02C4-465B-8368-5ED9B732E22D}

CoolWWWSearch.CameUp: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\ToolBand.ToolBandObj

CoolWWWSearch.CameUp: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\ToolBand.ToolBandObj.1

CoolWWWSearch.CameUp: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}

CoolWWWSearch.CameUp: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}

Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

FindSpy.A: Ton-Datei (Datei, nothing done)
C:\WINDOWS\balloon.wav

Pipas.A: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins

Common Dialogs: History (90 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: COM+.log (Datei sichern, nothing done)
C:\WINDOWS\COM+.log

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Datei sichern, nothing done)
C:\WINDOWS\imsins.log

Log: Activity: OEWABLog.txt (Datei sichern, nothing done)
C:\WINDOWS\OEWABLog.txt

Log: Install: comsetup.log (Datei sichern, nothing done)
C:\WINDOWS\comsetup.log

Log: Install: Directx.log (Datei sichern, nothing done)
C:\WINDOWS\Directx.log

Log: Install: ocgen.log (Datei sichern, nothing done)
C:\WINDOWS\ocgen.log

Log: Install: setupact.log (Datei sichern, nothing done)
C:\WINDOWS\setupact.log

Log: Install: setupapi.log (Datei sichern, nothing done)
C:\WINDOWS\setupapi.log

Log: Install: setuperr.log (Datei sichern, nothing done)
C:\WINDOWS\setuperr.log

Log: Install: setuplog.txt (Datei sichern, nothing done)
C:\WINDOWS\setuplog.txt

Log: Install: wmsetup.log (Datei sichern, nothing done)
C:\WINDOWS\wmsetup.log

Log: Install: DtcInstall.log (Datei sichern, nothing done)
C:\WINDOWS\DtcInstall.log

Log: Shutdown: System32\wbem\logs\mofcomp.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\setup.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\setup.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.lo_

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wmiadap.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiadap.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Ahead Nero Burning Rom: Browser directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Ahead\Nero - Burning Rom\Settings\BrowserDir!=

Ahead Nero Burning Rom: Working directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Ahead\Nero - Burning Rom\Settings\WorkingDir!=

Ahead Nero Burning Rom: Last ISO directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\ahead\Nero - Burning Rom\General\OFDLastISODir!=

Internet Explorer: Download directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Internet Explorer\Download Directory!=

Internet Explorer: User agent (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

MS Management Console: Recent command list (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Microsoft Management Console\Recent File List

MS Media Player: Recent open directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\MediaPlayer\Player\Settings\OpenDir!=

MS Media Player: Save as Directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\MediaPlayer\Player\Settings\SaveAsDir!=

MS Media Player: Last opened playlist (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last selected track index (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\MediaPlayer\Preferences\LastPlaylistIndex

MS Media Player: Anonymous ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Direct3D: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

MS Direct3D: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Direct3D\MostRecentApplication\Name!=

MS DirectDraw: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS DirectInput: Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\DirectInput\MostRecentApplication\Name!=

MS DirectInput: Most recent application ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\DirectInput\MostRecentApplication\Id!=

MS Office 10.0 (Document Scanning): Recent file list #1 (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\MSPaper\Recent File List

MS Office 10.0 (Document Scanning): Recent file list #2 (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\MSPaper\Persist File Name

MS Office 10.0 (Word): Recently used documents list (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Office\10.0\Word\Data\Settings

MS Paint: Recent file list (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List

MS Regedit: Recent open key (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey!=

MS Search Assistant: Typed search terms history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Search Assistant\ACMru

Windows: Drivers installation paths (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources!=

Windows.OpenWith: Open with list - .AVI extension (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList

Windows.OpenWith: Open with list - .BMP extension (6 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList

Windows.OpenWith: Open with list - .CDA extension (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CDA\OpenWithList

Windows.OpenWith: Open with list - .CSV extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CSV\OpenWithList

Windows Explorer: Recent wallpaper list (45 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU

Windows Explorer: Stream history (116 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Windows Explorer: User Assistant history IE (16 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files (353 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history (14 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-2048120621-358184509-2528670768-1006\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-10 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-07 Includes\Cookies.sbi (*)
2006-04-07 Includes\Dialer.sbi (*)
2006-04-07 Includes\Hijackers.sbi (*)
2006-04-07 Includes\Keyloggers.sbi (*)
2006-04-07 Includes\Malware.sbi (*)
2006-04-07 Includes\PUPS.sbi (*)
2006-04-07 Includes\Revision.sbi (*)
2006-04-07 Includes\Security.sbi (*)
2006-04-07 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2006-04-07 Includes\Trojans.sbi (*)

Hoffe das reicht - sieht verdammt lang aus :confused:
 
Bei dir scheint einiges zu sein!:( Kopiere Hijackthis bitte in einene Extra Ordner, damit du evtl Sicherheitskopien,die es anlegt nutzen kannst. Das mit dem BHO gebe ich mal auf den Teatimer. deaktiviere ihn, oder starte den Rechner im abgesicherten Modus und fixe mit Hilfe von Hijackthis diese "02" BHO und lasse dann auch mit Spybot die Dinge bereinigen, die es noch findet.

Das groessere Problem scheinen die "O17" Eintraege zu sein. Sie verweisen auf einen Russischen(Ukrainischen?) DNS Server und das ist nicht gut.

Nutze noch bitte Blacklight: http://www.f-secure.com/blacklight/try.shtml Lade es in einen Extra Ordner herunter, starte es, druecke Scan und danach solange next, bis nur noch close angeboten wird. Nun wirst du in dem selben Ordner, in dem auch Blacklicght sich befindet eine log Datei finden poste den Inhalt bitte hier. Mal schauen, was das bringt.

Sage bitte, ob die Saeuberung mit Hijackthis und Spybot, im abgesicherten Modus, etwas gebracht hat. Dann schauen wir weiter, was wir machen.
 
weiter gehts....

Hallo ralf,

hier nun die Logs aus dem abgesicherten Modus:

04/11/06 22:50:59 [Info]: BlackLight Engine 1.0.35 initialized
04/11/06 22:50:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/11/06 22:50:59 [Note]: 7019 4
04/11/06 22:50:59 [Note]: 7005 0
04/11/06 22:51:02 [Note]: 7006 0
04/11/06 22:51:02 [Note]: 7011 1956
04/11/06 22:51:03 [Note]: 7026 0
04/11/06 22:51:03 [Note]: 7026 0
04/11/06 22:51:03 [Note]: FSRAW library version 1.7.1015
04/11/06 22:51:18 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/11/06 22:51:18 [Note]: 10002 1
04/11/06 22:51:24 [Info]: Hidden file: C:\WINDOWS\system32\dmvnx.exe
04/11/06 22:51:24 [Note]: 7002 32
04/11/06 22:51:24 [Note]: 7003 1
04/11/06 22:51:24 [Note]: 10002 1
04/11/06 22:51:25 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
04/11/06 22:51:37 [Note]: 7002 5
04/11/06 22:51:37 [Note]: 7003 1
04/11/06 22:51:37 [Note]: 10002 1
04/11/06 22:51:38 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
04/11/06 22:51:38 [Note]: 10002 1
04/11/06 22:51:39 [Info]: Hidden file: C:\WINDOWS\system32\cskmv.exe
04/11/06 22:51:39 [Note]: 7002 32
04/11/06 22:51:39 [Note]: 7003 1
04/11/06 22:51:39 [Note]: 10002 1
04/11/06 22:53:33 [Note]: 7007 0


Dabei gabe es übrigends einen Trojaner Alarm von AntiVir.


nächstes Spybot hat nur noch Pipas gefunden.


--- Report generated: 2006-04-12 01:26 ---

Pipas.A: Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-10 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-07 Includes\Cookies.sbi (*)
2006-04-07 Includes\Dialer.sbi (*)
2006-04-07 Includes\Hijackers.sbi (*)
2006-04-07 Includes\Keyloggers.sbi (*)
2006-04-07 Includes\Malware.sbi (*)
2006-04-07 Includes\PUPS.sbi (*)
2006-04-07 Includes\Revision.sbi (*)
2006-04-07 Includes\Security.sbi (*)
2006-04-07 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-04-07 Includes\Trojans.sbi (*)

Hijack meldet das selbe wie vorher.


Logfile of HijackThis v1.98.2
Scan saved at 23:13:28, on 11.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: GameCommander.lnk.disabled
O4 - Global Startup: ISDNWatch.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132926479593
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DE02EB0-0133-4B4E-B84B-978167696159}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E2E1DCB-4377-45C0-95AE-2599D0E6284B}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{606DAE63-94C2-4800-9179-A6C43D96B49D}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{7803414A-F830-43BD-94EB-0208D2108F19}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{8120E958-B946-4348-A348-A106164F5CA1}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{873D459E-6428-4CA5-95FB-45D8968F10F9}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B85D86F-3946-4B98-A2C1-7FE9DA3300CC}: NameServer = 85.255.116.170,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABA4E0B8-793B-42ED-9D4C-44D03FEA91AA}: NameServer = 85.255.116.170,85.255.112.213


Sollte ich da irgendetwas löschen?
 
.....

Hallo nocheinmal,

wichtige Sachen sind nicht auf dem Rechner - bringt formatieren und eine Neuinstalation von Windows etwas. Ist zwar ärgerlich und kostet Zeit, aber wenn es denn nicht anders geht.
 
nur mal so........

Hallo Ralf,

werde morgen formatieren und Win neu aufspielen. In Zukunft dann mit Netscape surfen. Vielen Dank an dieser Stelle für Deine Hilfe und ein schönes Osterweekend. :bigthumb:
 
Tea Timer

wenn ich java im Firefox installieren will verhindert spybot teatimer in der registry das installieren von java:scratch:
hast du ne ide wie ich das verhindern kann
nur mit auschalten?
bei mir ist auch der Fehler von 1.4 drin so das ich nicht genau weiß wo ich das Häkchen machen muss zum erlauben, kann nur ein Häkchen machen für merken
kommt dann aber immer die Warnung: Eintrag in der Registry verboten
Viele liebe Grüße
:o
 
You must log in or register to reply here.
Back
Top