Spy Sheriff hat auch hier zugeschlagen

**Starbuck** · 04.05.2006, 01:08

Hallo,

auch ich würde gerne Eure Hilfe in Anspruch nehmen. Seit ein paar Tagen habe ich diese nervigen PopUps und irgendwie setzt sich auch immer ein .url auf meinem Desktop fest. Und ich muss zu meiner Schande gestehen, dass ich mir nun selbst nicht mehr weiterhelfen kann.

Ich habe die Temp Ordner, Rescent, usw. bereits geleert (mehrmals) und das Problem konnte nicht behoben werden. Über die Online Auswertung des log-files wurde mir die Anwendung wupdmgr.exe unter C:\Windows als Böse angezeigt, aber ich glaube die sollte man doch nicht so einfach löschen, oder ?

Hier nun mein Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 02:05:39, on 04.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Norton\ISSVC.exe
E:\Programme\Norton\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\InstallVersionen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: clsemixer.MyBHO - {898827FA-0AE9-4F7A-ADD9-1E7CE37CF4B0} - C:\WINDOWS\system32\clsemixer.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E04FA45-038C-431A-A712-9F0E23DC920E}: NameServer = 62.220.18.8 62.72.64.241
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - E:\Programme\Norton\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Programme\Norton\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Ich hoffe Ihr könnt mir weiterhelfen und schonmal vielen Dank für die Mühen im Voraus.

Gruß

Starbuck
PS: toll das eine Seite wie diese gibt

**Ruby** · 04.05.2006, 01:27

Hallo Starbuck

leider hat nicht nur der SpySheriff zugeschlagen, du hast einen Wurm mit Backdoor-Charakter auf dem System:

C:\WINDOWS\wupdmgr.exe
(TrendMicro)

Beendigung des Malware Programms

1. Öffne den Windows Task Manager.
2. Suche den unetn angegebenen Prozess in der Liste der laufenden Prozesse.
3. Wähle den zu löschenden File, wähle "beenden".
4. Um zu überprüfen, ob der Prozess beendet ist, schliesse den Taskmanager. Öffne ihn dann gleich nochmal und schau, ob es den Prozess noch gibt.
5. Schliesse dann den Task Manager:

-> wupdmgr.exe

*Hinweis: Sollte der Prozess nicht gut angegeben werden, kannst du dazu den Process Explorer verwenden.

Boote in den abgesicherten Modus (Anleitung).
Verwende den Windows Explorer, um diese Datei zu löschen:
C:\WINDOWS\wupdmgr.exe

Lade das RegSrch-Zip herunter
speichere es auf deinem Desktop,
packe es in einen eigenen Ordner C:\Programme\RegSrch aus.
Starte RegSrch.vbs
und gib als Suchstring "wupdmgr" ein
(ohne die Anführungszeichen).
Nach kurzer Zeit geht entweder ein Fenster auf das mitteilt
daß nichts gefunden wurde
oder ein Wordpadfenster mit den Funden.
Dessen Inhalt bitte posten.

-----------------------
Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Mehr Information hierzu unter "System-Pflege"/"System-Sicherheit" (meine Signatur).
-----------------------

**Starbuck** · 04.05.2006, 19:56

Hallo Ruby,

erstmal vielen Dank für Deine schnelle Antwort.

==> wupdmgr.exe

Die exe wird, wie Du es beschrieben hast, im Taskmanager angezeigt.

Nun habe ich jedoch das Problem, dass der Prozeß sich nicht beenden lässt. Sobald ich den Prozeß über den TaskM. beenden lasse, erscheint die exe wieder (fast ohne zeitliche Verzögerung).

Starte ich XP im abgesicherten Modus, wird diese exe nicht im Vereichnis c:\Windows angezeigt.Jedoch findet sich diese exe (oder eine andere mit gleichem Namen) unter c:\windows\system32......

Sollte der Prozess nicht gut angegeben werden, kannst du dazu den Process Explorer verwenden

==> Hatte ich auch versucht, leider klappt das auch nicht. Jedoch wird
der Prozeß hier als "Unterpunkt" der osaupd.exe angezeigt.

osaupd.exe 292 Balloon MFC Application
wupdmgr.exe 3440 Balloon MFC Application

Was kann ich denn nun versuchen?

Gruß

Starbuck

**Ruby** · 05.05.2006, 00:03

Hallo Starbuck

wende bitte S!Ri's SmitfraudFix laut Anleitung an.
Bitte den 1. rapport.txt kennzeichnen: rapport_1.txt, damit der zweite, den ersten nicht überschreibt.
Wir wollen bitte beide Logfiles sehen.

Lass HijackThis laufen
Speichere das Logfile und poste es.

**Starbuck** · 05.05.2006, 16:39

Hallo Ruby,

anbei die Ergebnisse:

1. Rapport

SmitFraudFix v2.39

Scan done at 17:30:14,21, 05.05.2006
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\osaupd.exe FOUND !
C:\WINDOWS\wupdmgr.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\-pAiNGivER-Starbuck\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\-PAING~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

2 Rapport nach "Delete"
SmitFraudFix v2.39

Scan done at 17:35:34,50, 05.05.2006
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\osaupd.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» End

HijackThis Log File Neu

Logfile of HijackThis v1.99.1
Scan saved at 17:42:04, on 05.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\razertra.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Razer\razerhid.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Norton\ISSVC.exe
E:\Programme\Norton\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\InstallVersionen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: clsemixer.MyBHO - {898827FA-0AE9-4F7A-ADD9-1E7CE37CF4B0} - C:\WINDOWS\system32\clsemixer.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E04FA45-038C-431A-A712-9F0E23DC920E}: NameServer = 62.220.18.8 62.72.64.241
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - E:\Programme\Norton\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Programme\Norton\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Gruß

Starbuck

**Ruby** · 06.05.2006, 01:43

Hallo Starbuck

lade Silent Runner runter.
(deutsche Anleitung)
Wende es, entsprechend der bebilderten Anleitung, an.
Erstelle damit ein Logfile und poste es.

**Starbuck** · 07.05.2006, 11:14

Hi Ruby,

hier ist das LogFile von Silent Runner:

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"razertra" = "C:\Programme\Razer\razertra.exe" ["Razer Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"DataLayer" = "C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe" ["Nokia Mobile Phones Ltd."]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{898827FA-0AE9-4F7A-ADD9-1E7CE37CF4B0}\(Default) = (no title provided)
-> {HKLM...CLSID} = "clsemixer.MyBHO"
\InProcServer32\(Default) = "C:\WINDOWS\system32\clsemixer.dll" ["Laguna Media"]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security"
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "E:\Programme\Norton\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "E:\Programme\Office\Office10\msohev.dll" [MS]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {HKLM...CLSID} = "Contact View"
\InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {HKLM...CLSID} = "Message View"
\InProcServer32\(Default) = "E:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "FilZip Shell Extension"
-> {HKLM...CLSID} = "FilZip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
FilZip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "FilZip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "E:\Programme\Norton\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
FilZip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "FilZip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "E:\Programme\Norton\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Default executables:
--------------------

HKLM\Software\Classes\scrfile\shell\open\command\(Default) = ""%1" /S "%3"" [file not found]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shel lState

Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Meinen Computer prüfen - -pAiNGivER-Starbuck" -> launches: "E:\PROGRA~1\Norton\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\N ameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\P rotocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

ISSvc, ISSVC, "E:\Programme\Norton\ISSVC.exe" ["Symantec Corporation"]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""E:\Programme\Norton\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Symantec Core LC, Symantec Core LC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt08\Driver = "hpzsnt08.dll" ["HP"]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 39 seconds, including 18 seconds for message boxes)

Gruß
Starbuck

**Ruby** · 07.05.2006, 21:56

Hallo Starbuck

Lade bitte die windatfindbat
von unserem Moderator Karl83 (für alle Betriebssysteme) herunter. Bitte
auf die Datei klicken, es erscheint ein DOS-Fensterchen, nun wird eine
Notepad-Datei unter C:\ erstellt.
Bitte von diesem Text >> jeweils die letzten 30 Tage kopieren << und hier posten:

C:\
C:\%WinDir%\%System%
C:\%WinDir%
C:\%WinDir%\TEMP

Hinweis:
%WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

**Starbuck** · 08.05.2006, 21:50

Hallo Ruby,

anbei der Inhalt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0807-D7E9

Verzeichnis von C:\

08.05.2006 22:55 0 dirdat.txt
05.05.2006 17:37 421 rapport.txt
05.05.2006 17:31 1.227 rapport_1.txt
05.05.2006 17:16 24.850 hpfr3500.log
04.05.2006 20:59 945 wupdmgr.exe.txt
03.05.2006 19:50 65.024 Dok1.doc
29.04.2006 11:05 42.417 server.met
29.04.2006 11:05 2.751.537 clients_met.zip
29.04.2006 10:55 4.378.372 clients.met
26.04.2006 22:09 211 boot.ini
12.04.2006 23:35 58.830 sunset.jpg
25.03.2006 05:35 183 UnInstall.dat
03.12.2005 17:27 47.564 NTDETECT.COM
03.12.2005 17:27 251.184 ntldr
24.07.2005 21:21 0 MSDOS.SYS
24.07.2005 21:21 0 AUTOEXEC.BAT
24.07.2005 21:21 0 CONFIG.SYS
24.07.2005 21:21 0 IO.SYS
16.07.2004 14:30 3.858 directx redist.txt
13.07.2004 10:11 1.616 Detonatorunlock2.reg
09.07.2004 04:08 2.242.560 dsetup32.dll
09.07.2004 03:03 62.976 DSETUP.dll
05.12.2002 13:50 191 Detonatorunlock.reg
15.12.2001 11:27 3.254 RegSrch.vbs
18.08.2001 21:00 4.952 bootfont.bin
25 Datei(en) 9.942.172 Bytes
0 Verzeichnis(se), 1.096.409.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0807-D7E9

Verzeichnis von C:\WINDOWS\system32

08.05.2006 22:55 235 0,7310755
08.05.2006 22:55 235 0,442135
08.05.2006 22:54 235 0,5260584
08.05.2006 22:54 8 lud.dat
08.05.2006 22:52 21.961 nvapps.xml
07.05.2006 23:05 235 8,434474E-03
07.05.2006 23:05 235 0,4852716
07.05.2006 23:05 235 0,1248285
07.05.2006 23:04 235 1,740664E-02
07.05.2006 23:03 235 0,4267694
07.05.2006 23:02 235 0,9697992
07.05.2006 23:01 235 0,576687
07.05.2006 20:10 235 5,819339E-02
07.05.2006 20:10 235 0,5668604
07.05.2006 20:06 235 0,9604456
07.05.2006 20:06 235 0,1362268
07.05.2006 20:01 235 0,2209894
07.05.2006 20:01 235 0,8670771
07.05.2006 20:00 235 0,5501825
07.05.2006 19:56 235 0,7321894
07.05.2006 19:56 235 0,5100824
07.05.2006 19:54 235 0,6204798
07.05.2006 19:54 235 0,5284693
07.05.2006 19:53 235 0,6077234
07.05.2006 19:53 235 0,7026636
07.05.2006 19:52 235 0,5598108
07.05.2006 19:50 235 0,4392359
07.05.2006 19:48 235 0,8472864
07.05.2006 19:48 235 0,6121485
07.05.2006 19:47 235 0,3140222
07.05.2006 19:46 235 0,3719751
07.05.2006 19:41 235 0,2045709
07.05.2006 19:40 235 0,3068659
07.05.2006 19:40 235 0,8919489
07.05.2006 19:37 235 0,4991724
07.05.2006 12:43 235 0,3347895
07.05.2006 12:43 235 0,5808832
07.05.2006 12:42 235 0,1134149
07.05.2006 12:42 235 0,885998
07.05.2006 12:40 235 0,3838617
07.05.2006 12:29 235 0,779812
07.05.2006 12:27 235 0,6670191
07.05.2006 12:21 235 0,3459436
07.05.2006 12:20 235 0,9610559
07.05.2006 12:18 235 0,3800623
07.05.2006 12:18 235 0,4762537
07.05.2006 12:17 235 0,9852716
07.05.2006 12:16 235 0,8278009
07.05.2006 12:16 235 scngcf.dat
07.05.2006 12:15 2.206 wpa.dbl
05.05.2006 17:44 235 0,063595
05.05.2006 17:42 235 9,395778E-03
05.05.2006 17:41 235 0,6512262
05.05.2006 17:40 235 0,8699152
05.05.2006 17:39 235 0,2432062
05.05.2006 17:30 235 0,9978144
05.05.2006 17:29 235 0,8629877
05.05.2006 17:28 235 0,4293177
05.05.2006 17:19 235 2,163333E-02
05.05.2006 17:16 235 0,1675531
05.05.2006 17:08 235 0,5468103
05.05.2006 17:05 235 0,5561334
04.05.2006 21:51 235 0,6399805
04.05.2006 21:49 235 0,4713404
04.05.2006 21:08 235 0,3724176
04.05.2006 21:08 235 0,6882746
04.05.2006 21:07 235 0,5266535
04.05.2006 21:07 235 0,5716669
04.05.2006 21:06 235 0,2790033
04.05.2006 21:06 235 0,1623651
04.05.2006 21:04 235 0,8468439
04.05.2006 21:03 235 0,7830927
04.05.2006 20:56 235 3,463382E-02
04.05.2006 20:46 235 0,9838983
04.05.2006 20:38 235 0,6804773
04.05.2006 20:37 235 0,7492029
04.05.2006 20:26 235 0,9787256
04.05.2006 20:25 235 0,8546411
04.05.2006 20:25 235 0,1328089
04.05.2006 20:23 235 0,8107874
04.05.2006 20:22 235 0,8670008
04.05.2006 20:19 235 0,7588922
04.05.2006 20:19 235 0,8538324
04.05.2006 20:19 235 0,9847223
04.05.2006 02:26 235 0,3034174
04.05.2006 02:26 235 0,3149988
04.05.2006 02:20 235 0,743252
04.05.2006 02:11 235 0,1206629
04.05.2006 02:01 235 0,75021
04.05.2006 02:00 235 0,3900263
04.05.2006 01:57 235 0,3513605
04.05.2006 01:55 235 0,8790552
04.05.2006 01:55 235 0,4400904
04.05.2006 01:46 235 0,58482
04.05.2006 01:45 235 0,4417078
04.05.2006 01:45 235 2,413577E-02
04.05.2006 01:43 235 0,7315637
04.05.2006 01:43 235 0,3729822
04.05.2006 01:35 235 0,3490412
04.05.2006 01:34 235 0,9083826
04.05.2006 01:33 235 0,8014948
04.05.2006 01:32 235 0,5904657
04.05.2006 01:32 235 0,1441767
04.05.2006 01:29 235 0,5259821
04.05.2006 01:27 235 0,6828272
04.05.2006 01:24 235 0,4175074
04.05.2006 00:01 235 0,4553644
04.05.2006 00:01 235 6,103152E-02
03.05.2006 22:18 235 0,9088556
03.05.2006 21:48 235 0,9110376
03.05.2006 21:48 235 0,9894983
03.05.2006 21:46 235 0,1875574
03.05.2006 21:43 235 5,573672E-02
03.05.2006 21:43 235 0,7018244
03.05.2006 21:33 235 0,8971521
03.05.2006 21:31 235 0,3083765
03.05.2006 21:29 235 0,6517298
03.05.2006 21:17 235 0,4627649
03.05.2006 21:15 235 0,6039698
03.05.2006 21:15 235 0,3003809
03.05.2006 21:14 235 0,95245
03.05.2006 21:11 235 0,7948877
03.05.2006 21:11 235 0,8321802
03.05.2006 21:10 235 0,5751764
03.05.2006 20:28 235 0,3708612
03.05.2006 20:28 235 0,8029138
03.05.2006 20:26 235 6,408328E-02
03.05.2006 20:23 235 0,5492517
03.05.2006 20:07 235 0,855343
03.05.2006 20:06 235 0,7158472
03.05.2006 19:59 235 0,3207819
03.05.2006 19:58 235 0,1979181
03.05.2006 19:57 235 0,749737
03.05.2006 19:56 235 6,428164E-02
03.05.2006 19:56 235 0,4813349
03.05.2006 19:51 235 0,7026026
03.05.2006 19:32 235 5,031765E-03
03.05.2006 19:32 235 0,7503015
03.05.2006 19:29 235 0,7815821
03.05.2006 19:29 235 0,3432276
03.05.2006 19:28 235 0,0499689
03.05.2006 19:24 235 6,980532E-02
02.05.2006 21:24 235 0,4616815
02.05.2006 21:23 235 0,3714105
02.05.2006 21:22 235 1,713198E-02
02.05.2006 21:13 235 0,383938
02.05.2006 21:11 235 5,836123E-02
02.05.2006 21:10 235 0,3896601
02.05.2006 21:08 235 0,6685602
02.05.2006 21:08 235 0,4030573
02.05.2006 21:05 235 0,8894159
02.05.2006 21:03 235 0,8675043
02.05.2006 21:03 235 0,0378229
02.05.2006 21:02 235 0,2716028
02.05.2006 21:01 235 0,5294153
02.05.2006 20:59 235 0,5273706
02.05.2006 20:58 235 0,3002283
02.05.2006 20:58 235 0,8937036
02.05.2006 01:00 235 0,1513941
02.05.2006 00:59 235 0,326153
02.05.2006 00:58 235 0,4513361
02.05.2006 00:58 235 1,392764E-02
02.05.2006 00:58 235 0,4372522
02.05.2006 00:57 235 0,1881372
02.05.2006 00:57 235 0,4156763
02.05.2006 00:57 235 1,031131E-02
02.05.2006 00:56 235 0,8763849
02.05.2006 00:54 235 0,118252
02.05.2006 00:51 235 0,2271692
01.05.2006 23:21 235 0,6858332
01.05.2006 23:20 235 0,4045221
01.05.2006 23:19 235 3,612697E-03
01.05.2006 23:07 235 0,5620539
01.05.2006 21:02 235 0,763241
01.05.2006 20:58 235 0,7186243
01.05.2006 20:57 235 0,812771
01.05.2006 14:59 235 0,4845087
01.05.2006 14:57 235 0,9115106
01.05.2006 02:07 235 3,586978E-02
01.05.2006 01:09 235 0,7554438
01.05.2006 01:08 235 0,1900141
01.05.2006 01:07 235 4,046267E-02
01.05.2006 01:06 235 0,7384302
01.05.2006 01:05 235 0,4082605
01.05.2006 01:04 235 0,7469446
01.05.2006 01:04 235 0,6307337
01.05.2006 01:03 235 0,2380182
01.05.2006 01:03 235 0,9097559
01.05.2006 01:03 235 0,9039881
01.05.2006 01:02 235 0,7533228
01.05.2006 01:01 235 0,3635828
01.05.2006 00:59 235 0,7294275
01.05.2006 00:42 235 0,8642847
01.05.2006 00:41 235 0,3572199
01.05.2006 00:40 235 1,026553E-02
01.05.2006 00:39 235 0,9369776
30.04.2006 23:53 235 0,9068872
30.04.2006 23:51 235 0,4174768
30.04.2006 23:43 235 0,8975336
30.04.2006 23:43 235 0,4278986
30.04.2006 23:31 235 0,6758692
30.04.2006 23:28 235 0,2653162
30.04.2006 22:04 235 0,8033716
30.04.2006 22:02 235 0,3615534
30.04.2006 21:32 235 0,9055445
30.04.2006 21:32 235 0,6055567
30.04.2006 21:30 235 0,5499842
30.04.2006 21:27 235 0,7121698
30.04.2006 21:27 235 0,6701166
30.04.2006 21:26 235 9,411037E-03
30.04.2006 19:53 235 3,500003E-02
30.04.2006 18:21 235 0,7175257
30.04.2006 18:19 235 0,549206
30.04.2006 16:55 235 0,5690882
30.04.2006 16:38 235 0,4796106
30.04.2006 16:35 235 0,516781
30.04.2006 16:35 235 0,4921839
30.04.2006 16:26 235 0,7234766
30.04.2006 16:25 0 asfiles.txt
30.04.2006 16:21 2.550 Uninstall.ico
30.04.2006 16:21 1.406 Help.ico
30.04.2006 16:21 30.590 pavas.ico
30.04.2006 16:19 235 0,6854212
30.04.2006 16:19 235 0,1802332
30.04.2006 16:18 235 4,302615E-02
30.04.2006 16:17 235 0,6043054
30.04.2006 16:17 235 0,8576013
30.04.2006 16:16 235 0,9860651
30.04.2006 16:16 235 9,952945E-02
30.04.2006 16:15 235 0,9383356
30.04.2006 16:12 235 0,7087671
30.04.2006 16:10 235 2,047366E-02
30.04.2006 16:05 235 7,227725E-02
30.04.2006 15:59 235 0,4334528
30.04.2006 15:59 235 0,6068537
30.04.2006 15:51 235 0,3140375
30.04.2006 15:50 235 5,494326E-02
30.04.2006 15:48 235 7,368106E-02
30.04.2006 15:48 235 0,2023432
30.04.2006 15:47 235 0,3632166
30.04.2006 15:36 235 0,7027857
30.04.2006 15:28 235 0,534115
30.04.2006 15:21 235 0,7481958
30.04.2006 15:20 235 0,4297144
30.04.2006 15:14 235 0,3477289
30.04.2006 15:12 235 7,442653E-03
30.04.2006 15:10 235 0,3428919
30.04.2006 15:08 235 2,177066E-02
30.04.2006 15:05 235 0,5596125
30.04.2006 15:05 235 0,8130304
30.04.2006 15:04 235 1,873195E-03
30.04.2006 15:04 235 0,8384668
30.04.2006 14:28 235 0,8594629
30.04.2006 14:27 235 0,1725733
30.04.2006 14:27 235 0,2060205
30.04.2006 14:24 235 0,7014887
29.04.2006 15:06 235 0,7265436
29.04.2006 14:57 235 0,1895258
29.04.2006 13:45 235 0,8909265
29.04.2006 13:42 235 0,3509333
29.04.2006 13:42 235 0,734173
29.04.2006 13:42 235 0,2610895
29.04.2006 13:40 235 0,4825251
29.04.2006 13:38 235 0,2611353
29.04.2006 13:37 235 0,1966211
29.04.2006 13:36 235 0,6939966
29.04.2006 13:35 235 0,1815454
29.04.2006 13:34 235 0,9524042
29.04.2006 13:33 235 0,1669428
29.04.2006 13:31 235 0,0406
29.04.2006 13:30 235 0,1546137
29.04.2006 13:30 235 0,7853357
29.04.2006 13:27 235 0,2671472
29.04.2006 13:25 235 0,1272394
29.04.2006 13:24 235 0,8187677
29.04.2006 13:20 235 0,5710108
29.04.2006 13:20 235 0,9513208
29.04.2006 13:18 235 0,5343897
29.04.2006 13:18 235 0,3677027
29.04.2006 13:17 235 0,6434442
29.04.2006 13:16 235 0,9619257
29.04.2006 13:13 235 0,2155878
29.04.2006 13:12 235 0,3200037
29.04.2006 13:11 235 0,341366
29.04.2006 13:10 235 0,3186609
29.04.2006 13:07 235 0,7045099
29.04.2006 13:07 235 6,779116E-02
29.04.2006 13:07 235 0,2643244
29.04.2006 13:05 235 0,1520807
29.04.2006 12:46 235 0,1438867
29.04.2006 12:45 235 0,1038477
29.04.2006 12:40 235 0,9914057
29.04.2006 12:37 235 0,1525232
29.04.2006 12:37 235 8,568972E-02
29.04.2006 12:37 235 0,8156702
29.04.2006 12:37 235 0,822201
29.04.2006 12:36 235 0,9298059
29.04.2006 12:36 235 0,480282
29.04.2006 12:36 235 0,6664392
29.04.2006 12:36 235 9,734744E-02
29.04.2006 12:36 235 0,5515711
29.04.2006 12:35 235 0,2501184
29.04.2006 12:34 235 0,2499811
29.04.2006 12:34 235 0,4918024
29.04.2006 12:34 235 0,3932917
29.04.2006 12:34 235 0,8449518
29.04.2006 12:34 235 6,321353E-02
29.04.2006 12:33 235 0,8901178
29.04.2006 12:33 235 0,6840021
29.04.2006 12:33 235 9,812564E-02
29.04.2006 12:33 235 0,6339533
29.04.2006 12:33 235 0,3772394
29.04.2006 12:33 235 0,3069269
29.04.2006 12:33 235 1,639956E-02
29.04.2006 12:33 235 0,5771295
29.04.2006 12:32 235 0,3446466
29.04.2006 12:32 235 0,1340143
29.04.2006 12:32 235 0,7593195
29.04.2006 12:32 235 0,5121881
29.04.2006 12:32 235 0,7335016
29.04.2006 12:31 235 0,2505915
29.04.2006 12:31 235 0,3238336
29.04.2006 12:30 235 0,6997339
29.04.2006 12:30 235 0,2267725
29.04.2006 12:30 235 0,1519434
29.04.2006 12:29 235 0,357815
29.04.2006 12:29 235 0,4832422
29.04.2006 12:29 235 0,4919092
29.04.2006 12:29 235 0,413357
29.04.2006 12:29 235 0,6932642
29.04.2006 12:29 235 0,3955347
29.04.2006 12:29 235 0,2818262
29.04.2006 12:28 235 0,3454859
29.04.2006 12:28 235 0,4128687
29.04.2006 12:27 235 0,3171045
29.04.2006 12:26 235 0,7706568
29.04.2006 12:26 235 0,6673242
29.04.2006 12:25 235 0,7244379
29.04.2006 12:25 235 0,962536
29.04.2006 12:25 235 0,7379267
29.04.2006 12:25 235 0,7840082
29.04.2006 12:24 235 0,1178705
29.04.2006 12:23 235 0,6577265
29.04.2006 12:22 235 0,2428553
29.04.2006 12:21 235 0,0191614
29.04.2006 12:21 235 0,7896082
29.04.2006 12:21 235 0,6178553
29.04.2006 12:21 235 0,1050989
29.04.2006 12:20 235 0,8667566
29.04.2006 12:18 235 0,5518762
29.04.2006 12:17 235 0,7160456
29.04.2006 12:16 235 0,4126398
29.04.2006 12:16 235 0,6398126
29.04.2006 12:16 235 0,5159723
29.04.2006 11:27 235 3,734988E-02
29.04.2006 11:27 235 0,6405603
29.04.2006 11:06 235 6,284732E-02
29.04.2006 11:01 235 0,12698
28.04.2006 20:05 235 0,2526209
28.04.2006 20:04 235 8,327883E-02
28.04.2006 19:55 235 0,6844293
28.04.2006 19:55 235 0,7016107
28.04.2006 19:49 235 1,223391E-02
28.04.2006 19:49 235 0,6361963
28.04.2006 19:47 235 0,9820825
28.04.2006 19:45 235 0,5059015
28.04.2006 19:45 235 0,7977716
28.04.2006 19:40 235 0,9204523
28.04.2006 19:38 235 0,6918756
28.04.2006 19:38 235 0,5543329
28.04.2006 19:36 235 0,9163782
28.04.2006 19:36 235 0,502804
28.04.2006 19:35 235 0,9013636
28.04.2006 19:35 235 0,2949793
28.04.2006 19:33 235 0,6613428
28.04.2006 19:32 235 0,8301966
28.04.2006 19:30 235 0,7574427
28.04.2006 19:28 235 0,5643427
28.04.2006 19:28 235 1,496524E-02
28.04.2006 19:26 235 0,3710749
28.04.2006 00:48 235 0,4453699
28.04.2006 00:19 19.456 clsemixer.dll
26.04.2006 23:44 262.144 wrap_oal.dll
26.04.2006 23:44 86.016 OpenAL32.dll
24.04.2006 21:51 311.604 perfh009.dat
24.04.2006 21:51 39.992 perfc009.dat
24.04.2006 21:51 48.156 perfc007.dat
24.04.2006 21:51 316.594 perfh007.dat
24.04.2006 21:51 723.744 PerfStringBackup.INI
21.04.2006 17:47 43.520 CmdLineExt03.dll
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
30.03.2006 19:32 7.006 jupdate-1.5.0_06-b05.log
20.03.2006 21:43 372.736 PhysX.cpl
20.03.2006 21:43 580 PhysX.cpl.manifest
20.03.2006 21:43 45.056 AgCPanelTraditionalChinese.dll
20.03.2006 21:43 45.056 AgCPanelSwedish.dll
20.03.2006 21:43 45.056 AgCPanelSpanish.dll
20.03.2006 21:43 45.056 AgCPanelSimplifiedChinese.dll
20.03.2006 21:43 45.056 AgCPanelPortugese.dll
20.03.2006 21:43 45.056 AgCPanelKorean.dll
20.03.2006 21:43 45.056 AgCPanelJapanese.dll
20.03.2006 21:43 45.056 AgCPanelGerman.dll
20.03.2006 21:43 45.056 AgCPanelFrench.dll

**Ruby** · 09.05.2006, 01:47

Hallo Starbuck

Ordneroptionen richtig einstellen
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Datei-Kontrolle
Mach bitte einen Rechtsklick auf die im folgenden genannten Dateien (mit der Maus), schau dir an, was unter Eigenschaften steht, kopiere diese Angaben (Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName) hier in deinen Thread von diesen Anwendungen:

C:\clients_met.zip
C:\clients.met
C:\WINDOWS\system32\8,434474E-03
C:\WINDOWS\system32\0,4852716
C:\WINDOWS\system32\5,819339E-02

Datei Überprüfung
Kannst du >>diese<< Dateien bitte mit HJT sowie mit Virustotal und/oder Jotti online scannen:

C:\clients_met.zip
C:\clients.met
C:\WINDOWS\system32\8,434474E-03
C:\WINDOWS\system32\0,4852716
C:\WINDOWS\system32\5,819339E-02
C:\WINDOWS\system32\clsemixer.dll

Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit (Beispiel).

Datei-Upload:
besuche folgende Netz-Adresse:
http://www.thespykiller.co.uk/forum/index.php?board=1.0

du brauchst dich nicht zu registrieren.
Eröffne einen neuen Thread mit dem Button (1) "New Topic"
Damit klappt ein neues Fenster auf:

Gib deinen Namen (2) und deine Email-Adresse (3) an.
Gib in der Betreffzeile ("Subject") (4) an, um welche Malware es sich handelt:
clsemixer.dll
Verweise auf deinen Thread bei uns (5), gib die URL deines Threads bei uns an:

Spy Sheriff hat auch hier zugeschlagen

Suche nun mit der Funktion "Browse" (6) die Datei

C:\WINDOWS\System32\clsemixer.dll <- auf deinem Rechner
und lade sie hoch.

Drücke auf "Post" (7).

Nun hast du einen neuen Thread mit dem Anhang deiner Datei
bei "thespykiller" eröffnet, man wird die Datei finden, analysieren und
an die Hersteller von Antivirus- und Anti-Spyware-Programmen weiterleiten.

Du wirst entweder per eMail oder in deinem neuen Thread bei thespykiller benachrichtigt. Bitte kopiere die Antwort und poste sie.

-----------------------
Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Mehr Information hierzu unter "System-Pflege"/"System-Sicherheit" (meine Signatur).
-----------------------

Thema: Spy Sheriff hat auch hier zugeschlagen

Themen-Optionen

Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

AW: Spy Sheriff hat auch hier zugeschlagen

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

hilfe alcra hat zugeschlagen

Spy Sheriff ?

auch probs mit dem spy sheriff

Spy Sheriff

Spy Sheriff

Berechtigungen