Rechner startet neu

**schnubbel2** · 04.02.2006, 23:08

Hallo!

Vielleicht kann mir jemand weiterhelfen. Sobald ich den Rechner herunterfahre, startet er nach einer Zeit wieder neu.

Ich habe mit NoAdware, Antivir und HijackThis gescannt und eigentlich alles beseitigt was Malwaretechnisch auffindbar war.

Und jetzt stehe ich auf dem Schlauch und komme nicht weiter.

Wäre nett, wenn mir da jemand kurzfristig weiterhelfen könnte.

**Ruby** · 04.02.2006, 23:34

Hallo Schnubbel2

das hört sich nicht gut an

Lade HijackThis runter, entpacke es in den Ordner C:\Programme\HijackThis
(Kostenloses Zip-Tool: SIMPLYZIP)
Erstelle ein HijackThis Logfile laut Anleitung und poste es.

Bitte den Rechner vom Netz trennen, wenn du nicht am Rechner sitzt und so wenig wie möglich mit dem betroffenen Rechner surfen.

-----------------------
Lade bitte entweder RegistryProt oder Winpooch 0.5.7-1 runter,
das Marc hier vorgestellt hat: klick,
lass es im Autostart mitlaufen.
Es handelt sich dabei um jeweils ein Wächterprogramm, das um Genehmigung fragt,
wann immer sich ein Programm ein- oder zuschalten will.

Bitte bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Mehr Information hierzu unter "System-Pflege"/"System-Sicherheit" (meine Signatur).
-----------------------

**schnubbel2** · 05.02.2006, 14:56

Ich habe es gefunden.

Ich habe HT nochmal scannen lassen und die automatische LogFile-Auswertung bemüht. Da war tatsächlich etwas Böses am Werk. Das war dann schnell ausgemerzt.
Allerdings gingen dann die Probleme erst richtig los. Schwups, der Raid 0 weg. Schwups, alle Bios-Einstellungen verstellt und der Rechner machte noch immer was er wollte.
Also HT und alles was zum Scannen taugt drübergejagt und nichts gefunden. Irgendwann wurde mir die Nacht zu lang und ich bin entnervt ins Bett. Vorher den Rechner noch sicherheitshalber vom Stromnetz genommen. Man weiß ja nie...

Zur Problemlösung:
Der Spaß ging heute morgen weiter. Das automatische Starten nach dem Ausschalten war ja schon seltsam. Allerdings hab ich heute morgen ziemlich dämlich geschaut, als mein Bios eine neue CPU meldete und Datum und Uhrzeit nicht passten und überhaupt alles im Bios nicht so passte wie es sollte.
In der Virenpanik denkt man selten ans Nächstliegende. Warum auch? Der Rechner ist erst etwas mehr als 6 Monate alt.
Ums kurz zu machen.
Ich habe ca. 3 Stunden im OS und BIOS rumgewürgt, um dann mal auf die Idee zu kommen, daß es ja auch nur die CMOS-Batterie sein könnte.
Neue rein und Hoppla, der Rechner läuft wieder einwandfrei.

ARGH!!! Ich wundere mich wie ich mit dem Brett vor dem Kopf durch die Arbeitszimmertür komme.

Ich Danke trotzdem für die schnelle Hilfe.

P.S.: Wo ich so schnell eine CR2032 3V - Batterie her habe? Och, wir haben da so eine Küchenwaage von Tchibo... Solange meine Frau nichts wiegt... Naja, ich kaufe Ihr morgen eine neue Batterie ;-)

**Ruby** · 05.02.2006, 22:48

Hallo schnubbel2

ein Rechner, der wegen einer Batterie neu startet?
Das glaube ich nicht.

Erstelle und poste bitte ein HijackThis Logfile.
Ich glaube eher an einen Backdoor, der von irgendjemandem gesteuert wird und deinen Rechner an und ausstellt. Und wenn du mir nicht glaubst, sicherheitshalber könntest du uns dein System ja mal zeigen ... meinst du nicht?

**schnubbel2** · 09.02.2006, 13:33

Sorry für die Verspätung. Ich habe mein DSL-Modem aus Versehen demoliert. Irgendwie kommen die Teile mit meinem Körpergewicht nicht klar. *g*

So, hier das LogFile. Vielleicht ist ja doch irgendwo etwas im Argen was die Profis erkennen und ich Laie nicht. Sicher ist sicher:

Logfile of HijackThis v1.99.1
Scan saved at 14:26:54, on 09.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NoAdware4\NoAdware4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\javaw.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NoAdware4] "C:\Programme\NoAdware4\NoAdware4.exe" :Min:
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: RAID Manager.lnk = C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
O4 - Global Startup: Sam.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

StartupList report, 09.02.2006, 14:30:42
StartupList version: 1.52.2
Started from : C:\hijackthis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NoAdware4\NoAdware4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\javaw.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Anwender\Startmenü\Programme\Autostart]
Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
RAID Manager.lnk = C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
Sam.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

High Definition Audio Property Page Shortcut = HDAudPropShortcut.exe
Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd
ATICCC = "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
Zone Labs Client = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
T-Online DSL-Manager = "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
Logitech Hardware Abstraction Layer = KHALMNPR.EXE
avgnt = "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
SunJavaUpdateSched = C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
RemoteControl = C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
HP Software Update = C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Register Homesite+.exe = C:\Programme\Macromedia\HomeSite+\Homesite+.exe /REGSERVER

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
NoAdware4 = "C:\Programme\NoAdware4\NoAdware4.exe" :Min:

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Klick-Wartung.job

--------------------------------------------------

Enumerating Download Program Files:

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE = http://acs.pandasoftware.com/actives...ree/asinst.cab

--------------------------------------------------

Enumerating Winsock LSP files:

Protocol #1: C:\WINDOWS\system32\spacklsp.dll
Protocol #2: C:\WINDOWS\system32\spacklsp.dll
Protocol #3: C:\WINDOWS\system32\spacklsp.dll
Protocol #4: C:\WINDOWS\system32\spacklsp.dll
Protocol #5: C:\WINDOWS\system32\spacklsp.dll
Protocol #25: C:\WINDOWS\system32\spacklsp.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 7.441 bytes
Report generated in 0,047 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform

**schnubbel2** · 09.02.2006, 13:48

Hier mal schnell die Kurzauswertung

C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Unbekannt
C:\Programme\NoAdware4\NoAdware4.exe - Unbekannt
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll - Böse
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll - Böse

Die ersten beiden sind selbsterklärend. Die anderen werden als böse definiert. Wenn ich sie allerdings eliminiere, dann funktioniert mein Raid-Manager nicht mehr.

**Karl** · 09.02.2006, 15:49

Hallo Schnubbel,

Was war denn das Böse, was Du schon im Vorfeld entfernt hast?

Zu deiner Vorauswahl:

C:\Programme\AntiVir PersonalEdition Classic\sched.exe ist gut (läuft bei mir auch)
c:\windows\system32\spacklsp.dll gehört zu T-Online (wieso das allerdings auf deinen Raid-Manager Einfluß nimmt entzieht sich meiner Kenntnis)
C:\Programme\NoAdware4\NoAdware4.exe hat zwar einen schönen Namen ist aber das krasse Gegenteil davon. (Du könntest auch notepad.exe in backdoor.exe umbenennen

)

Systemsteuerung -> Software -> NoAdware4 (o.ä.) -> entfernen.

Lade und installiere bitte Spybot S&D und Adaware Personal. Danach beide Programme updaten.

Im Anschluß daran in den abgesicherten Modus gehen (F8 drücken bevor Windows zu laden anfängt).

Beide Programme laufen lassen, alle Funde entfernen lassen. Logfiles der Programme speichern.

Danach zurück in den normalen Modus und die Logfiles sowie ein neues Hijackthis posten.

Gruß, Karl

**schnubbel2** · 09.02.2006, 17:44

So, erledigt. Hier die Ergebnisse:
Logfile of HijackThis v1.99.1
Scan saved at 18:40:49, on 09.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\javaw.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NoAdware4] "C:\Programme\NoAdware4\NoAdware4.exe" :Min:
O4 - HKCU\..\Run: [HijackThis startup scan] C:\hijackthis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: RAID Manager.lnk = C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
O4 - Global Startup: Sam.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pcpitstop.com/pestscan/pestscan.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

StartupList report, 09.02.2006, 18:42:34
StartupList version: 1.52.2
Started from : C:\hijackthis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\javaw.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Anwender\Startmenü\Programme\Autostart]
Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
RAID Manager.lnk = C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
Sam.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

High Definition Audio Property Page Shortcut = HDAudPropShortcut.exe
Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd
ATICCC = "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
Zone Labs Client = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
T-Online DSL-Manager = "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
Logitech Hardware Abstraction Layer = KHALMNPR.EXE
avgnt = "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
SunJavaUpdateSched = C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
RemoteControl = C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
HP Software Update = C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Register Homesite+.exe = C:\Programme\Macromedia\HomeSite+\Homesite+.exe /REGSERVER

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
NoAdware4 = "C:\Programme\NoAdware4\NoAdware4.exe" :Min:
HijackThis startup scan = C:\hijackthis\HijackThis.exe /startupscan
SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Klick-Wartung.job

--------------------------------------------------

Enumerating Download Program Files:

[PCPitstop Utility]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\PCPitstop.dll
CODEBASE = http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/sscv6/S...in/AvSniff.cab

[PSFormX Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\PESTSC~1.OCX
CODEBASE = http://www.pcpitstop.com/pestscan/pestscan.cab

[Symantec RuFSI Utility Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/S.../bin/cabsa.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE = http://acs.pandasoftware.com/actives...ree/asinst.cab

[ASquaredScanForm Element]
InProcServer32 = C:\WINDOWS\DOWNLO~1\axscan.ocx
CODEBASE = http://www.windowsecurity.com/trojanscan/axscan.cab

--------------------------------------------------

Enumerating Winsock LSP files:

Protocol #1: C:\WINDOWS\system32\spacklsp.dll
Protocol #2: C:\WINDOWS\system32\spacklsp.dll
Protocol #3: C:\WINDOWS\system32\spacklsp.dll
Protocol #4: C:\WINDOWS\system32\spacklsp.dll
Protocol #5: C:\WINDOWS\system32\spacklsp.dll
Protocol #25: C:\WINDOWS\system32\spacklsp.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 8.340 bytes
Report generated in 0,047 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Ad-Aware SE Build 1.06r1
Logfile Created on

onnerstag, 9. Februar 2006 17:34:40
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R91 08.02.2006
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »

References detected during the scan:
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»
MRU List(TAC index:0):18 total references
SpywareNo(TAC index:7):3 total references
Tracking Cookie(TAC index:3):4 total references
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

09.02.2006 17:34:40 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Anwender\recent
Description : list of recently opened documents

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X

MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X

MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\windows\currentversion\applets\wordp ad\recent file list
Description : list of recent files opened using wordpad

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\windows\currentversion\explorer\comd lg32\lastvisitedmru
Description : list of recent programs opened

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\windows\currentversion\explorer\comd lg32\opensavemru
Description : list of recently saved files, stored according to file extension

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\windows\currentversion\explorer\rece ntdocs
Description : list of recent documents opened

MRU List Object Recognized!
Location: : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\windows\currentversion\explorer\runm ru
Description : mru list for items opened in start | run

Listing running processes
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 160
ThreadCreationTime : 09.02.2006 16:33:26
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 208
ThreadCreationTime : 09.02.2006 16:33:38
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 232
ThreadCreationTime : 09.02.2006 16:33:39
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 276
ThreadCreationTime : 09.02.2006 16:33:43
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 288
ThreadCreationTime : 09.02.2006 16:33:44
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 444
ThreadCreationTime : 09.02.2006 16:33:47
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 504
ThreadCreationTime : 09.02.2006 16:33:48
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 564
ThreadCreationTime : 09.02.2006 16:33:49
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 800
ThreadCreationTime : 09.02.2006 16:33:58
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:10 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 912
ThreadCreationTime : 09.02.2006 16:34:19
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
New critical objects: 0
Objects found so far: 18

Started registry scan
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»

SpywareNo Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_USERS
Object : S-1-5-21-1390067357-1202660629-1801674531-1003\software\microsoft\windows\currentversion\ext\stats\{72 267f6a-a6f9-11d0-bc94-00c04fb67863}

Registry Scan result:
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
New critical objects: 1
Objects found so far: 19

Started deep registry scan
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»

Deep registry scan result:
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
New critical objects: 0
Objects found so far: 19

Started Tracking Cookie scan
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : anwender@mediaplex[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:4
Value : Cookie:anwender@mediaplex.com/
Expires : 22.06.2009 01:00:00
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : anwender@as1.falkag[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:10
Value : Cookie:anwender@as1.falkag.de/
Expires : 10.04.2006 15:45:00
LastSync : Hits:10
UseCount : 0
Hits : 10

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : anwender@clickbank[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:2
Value : Cookie:anwender@clickbank.net/
Expires : 08.08.2006 16:02:36
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : anwender@doubleclick[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:3
Value : Cookie:anwender@doubleclick.net/
Expires : 08.02.2009 17:19:04
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking cookie scan result:
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
New critical objects: 4
Objects found so far: 23

Deep scanning and examining files (C

»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
New critical objects: 0
Objects found so far: 23

Deep scanning and examining files (J

»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»

Disk Scan Result for J:\
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
New critical objects: 0
Objects found so far: 23

Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»

Hosts file scan result:
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 23

Performing conditional scans...
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»

SpywareNo Object Recognized!
Type : RegData
Data : 2
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\desktop\general
Value : WallpaperStyle
Data : 2

SpywareNo Object Recognized!
Type : RegData
Data : 2
TAC Rating : 7
Category : Misc
Comment :
Rootkey : HKEY_CURRENT_USER
Object : control panel\desktop
Value : WallpaperStyle
Data : 2

Conditional scan result:
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
New critical objects: 2
Objects found so far: 25

17:47:50 Scan Complete

Summary Of This Scan
»»»»»»»»»» »»»»»»»»»» »»»»»»»»»» »»»»»»»»
Total scanning time:00:13:09.188
Objects scanned:169991
Objects identified:7
Objects ignored:0
New critical objects:7

**schnubbel2** · 09.02.2006, 17:48

und hier die auswertung:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
Böse Dieser Eintrag wurde von unseren Besuchern als böse eingestuft.
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
Böse Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!

^ ^ das sind von mir geänderte sachen im IE!!! die bringen auch meinen raid-manager nicht zum abschmiergeln. der schmiergelt ab, wenn ich alles was HJT anzeigt lösche. sorry für die fehlinfo. aber so ist das mit uns unbedarften ohne ahnung.

und hier die kurzauswertung:

C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Unbekannt
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe - Unbekannt
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe - Unbekannt
RAID Manager.lnk = C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe - Unbekannt
UserInit = C:\WINDOWS\system32\userinit.exe, - Unbekannt
High Definition Audio Property Page Shortcut = HDAudPropShortcut.exe - Unbekannt
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe - Unbekannt

____________________________--

EDIT:
so langsam könnte ich mich daran gewöhnen, irgendwelchen prozessen und einträgen hinterherzuhecheln.

**Karl** · 09.02.2006, 19:08

Puh, da bin ich ja erleichtert. Das wäre ja Neuland gewesen, wieso so ein R Eintrag einen Raid-Manager nieder machen könnte. Ich wurd hier gerade reichlich nervös.

Du meinst vermutlich den hier. Den brauchst du, damit das läuft.

O4 - Global Startup: RAID Manager.lnk = C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe

Den hier kannst Du aber fixen:

O4 - HKCU\..\Run: [NoAdware4] "C:\Programme\NoAdware4\NoAdware4.exe" :Min:

Und ebenso den hier

O4 - Global Startup: Sam.lnk = ?

Blind alles zu fixen was die Hijackthis Auswerung nicht grün markiert, kann ein System ganz schön durcheinander bringen.

Thema: Rechner startet neu

Themen-Optionen

Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

AW: Rechner startet neu

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Rasautou.exe startet grundlos!

pc startet staendig neu

Internetexplorer startet selbstständig

HiJackThis startet nicht

IE startet automatisch mit Windows

Berechtigungen