Dropper DR180/Solutions auf Windows XP

O

Osterhase

0
Grüßgott zusammen!

Hab mich gerade eben registriert, nachdem ich ein bisschen auf der Seite gesurft bin und hier wohl äußerst kompetente Hilfe erwarten kann. :)

Hab mir den oben genannten Dropper eingefangen - bei jedem Programmstart bekomme ich von AntiVir eine Meldung über den Dropper, jedesmal mit Bezug auf eine andere exe-Datei (und das seit drei Wochen). Ich lasse jedesmal überschreiben und löschen, aber das ändert nix.

Jetzt als erstes die Frage: Was macht dieser Dropper, bzw. was machen die abgelegten Programme mit meinem Rechner?

Die zweite Frage: Wie krieg ich dieses blöde Teil wieder runter?

Fühle mich ja eigentlich im PC-Umgang inzwischen recht versiert, aber wenn's ans Eingemachte geht, bin ich noch ein wenig hilflos - aber durchaus lernfähig! ;)

Unten mal mein HijackThis-Logfile, vielleicht kann mir jemand sagen, was ich da jetzt löschen müsste... Bin ein wenig überfordert! ?(

Vielen Dank schon mal für die Hilfe!

Lieben Gruß aus Hannover, Uwe




Logfile of HijackThis v1.97.7
Scan saved at 14:04:58, on 15.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\iTunes\iTunesHelper.exe
C:\programme\search-assistant\saap.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\adobe acrobat\Distillr\AcroTray.exe
E:\Programme\Bluetooth Dongle\BTTray.exe
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\ScanWizard\ScannerFinder.exe
E:\Programme\Bluetooth Dongle\bin\btwdins.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Programme\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\adobe acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [saap] c:\programme\search-assistant\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "E:\PROGRA~1\MOZILLA\MOZILLA.EXE" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Freenet.lnk = E:\Programme\Freenet\freenet.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\adobe acrobat\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft PowerPoint\Office\OSA9.EXE
O4 - Global Startup: Scanner Finder.lnk = E:\Programme\ScanWizard\ScannerFinder.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - E:\Programme\Bluetooth Dongle\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectnt.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/08be21e0cdd380b56a17/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37875.3315046296
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/shockwave/cannonballs/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v5.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
 
Hallo @Osterhase

Es ist aber noch kein Ostern um hier Eier zu verteilen ;)

Jetzt wird es Ernst.

Jetzt als erstes die Frage: Was macht dieser Dropper, bzw. was machen die abgelegten Programme mit meinem Rechner?
Zum Vergrößern anklicken....

Dazu bitte hier lesen, Infiziert mit Dropper DR/Small.OF.H???

Was du jetzt fixen musst, ich schaue mal, dann mache ich ein X hin. Aber vergess nicht ein Backup zu erstellen.


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe----möglicher Trojaner-----------------> x
C:\WINDOWS\Explorer.EXE -----------------------------------------------> x
C:\WINDOWS\System32\khooker.exe------------Trojaner---------------------> x
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE----> x
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe---------> x
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe-----> x
E:\Programme\iTunes\iTunesHelper.exe----------------------------------------> x
C:\programme\search-assistant\saap.exe-------------------------------------> x

C:\WINDOWS\System32\ctfmon.exe------möglicher-----------Trojaner---->
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\adobe acrobat\Distillr\AcroTray.exe--------------------------> x
E:\Programme\Bluetooth Dongle\BTTray.exe
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\ScanWizard\ScannerFinder.exe--------------------------------> x
E:\Programme\Bluetooth Dongle\bin\btwdins.exe
C:\WINDOWS\System32\CTSvcCDA.EXE------------------Trojaner----------> x
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe--------------------Trojaner--------> x
C:\Programme\iPod\bin\iPodService.exe--------------------------------------> x
E:\Programme\Hijack This\HijackThis.exe
---------------------------------------------------------------------------------------------------
Diese unteren Dateien kannst du alle fixen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\adobe acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [saap] c:\programme\search-assistant\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "E:\PROGRA~1\MOZILLA\MOZILLA.EXE" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Freenet.lnk = E:\Programme\Freenet\freenet.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\adobe acrobat\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft PowerPoint\Office\OSA9.EXE
O4 - Global Startup: Scanner Finder.lnk = E:\Programme\ScanWizard\ScannerFinder.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - E:\Programme\Bluetooth Dongle\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectnt.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shock...ector/swdir.cab
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://64.124.45.181/downloads/ccpm_0237.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F...922/wmv9VCM.CAB
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/08be21e0cdd380b56a1...RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CA...7875.3315046296
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partn...lls/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sho...ash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v5.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
Zum Vergrößern anklicken....


Wenn ich was vergessen habe, korrigiert mich bitte.

@Osterhase du solltest dir ein Programm besorgen was dir die Trojaner fern hält. Du kannst das Backup löschen wenn du diese Dateien nicht benötigst.


erde
 
Hi erde!

Danke erstmal für die prompte Hilfszusage! Hab eben noch Ad-Aware laufen lassen, der zeigt mir 26 "critical objects". Die meisten davon sind Cookies, aber es gibt auch zwei Files mit dem hübschen bekannten Namen "180Solution". Ad-Aware warnt aber, die seien schwierig zu deinstallieren - soll ich die einfach löschen? Hilft das was?

Herzlichen Dank!

Ach so, hier das Logfile von Ad Aware:



Ad-Aware SE Build 1.04
Logfile Created on:Samstag, 15. Januar 2005 14:23:03
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R25 11.01.2005
???????????????????????????????????????????????????

References detected during the scan:
???????????????????????????????????????
180Solutions(TAC index:8):2 total references
AltnetBDE(TAC index:4):7 total references
istbar.dotcomToolbar(TAC index:5):1 total references
MRU List(TAC index:0):47 total references
Tracking Cookie(TAC index:3):16 total references
???????????????????????????????????????

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


15.01.2005 14:23:03 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent skins in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\realnetworks\realplayer\6.0\preferences
Description : last login time in realplayer


MRU List Object Recognized!
Location: : software\musicmatch\musicmatch jukebox\4.0\mmradio
Description : information on the last station listened to using musicmatch radio


MRU List Object Recognized!
Location: : software\musicmatch\musicmatch jukebox\4.0\fileconv
Description : file conversion location settings in musicmatch jukebox


MRU List Object Recognized!
Location: : software\musicmatch
Description : download location of the musicmatch installer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\office\9.0\powerpoint\recent typeface list
Description : list of recently used typefaces in microsoft powerpoint


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\office\9.0\powerpoint\recent file list
Description : list of recent files used by microsoft powerpoint


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\office\10.0\word\recent templates
Description : list of recent templates used by microsoft word


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\office\10.0\publisher\recent file list
Description : list of recent files used by microsoft publisher


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\office\10.0\excel\recent files
Description : list of recent files used by microsoft excel


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\office\10.0\common\general
Description : list of recently used symbols in microsoft office


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\office\10.0\clip organizer\search\last query
Description : last query in microsoft clip organizer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\mediaplayer\preferences
Description : last cd record path used in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\kazaa\search
Description : list of recent searches performed with sharman networks kazaa


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\google\navclient\1.1\history
Description : list of recently used search terms in the google toolbar


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\ahead\nero wave editor\recent file list
Description : list of recently used files in nero wave editor


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\ahead\nero - burning rom\recent file list
Description : list of recently used files in nero burning rom


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\ahead\cover designer\recent file list
Description : list of recently used files in ahead cover designer


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\adobe\photoshop\7.0\visiteddirs
Description : adobe photoshop 7 recent work folders


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\adobe\adobe acrobat\5.0\avgeneral\crecentfiles
Description : list of recently used files in adobe acrobat


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-299502267-436374069-1957994488-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Uwe Kreuzer\recent
Description : list of recently opened documents


Listing running processes
??????????????????????????????????????

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 612
ThreadCreationTime : 15.01.2005 12:50:01
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 672
ThreadCreationTime : 15.01.2005 12:50:05
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 696
ThreadCreationTime : 15.01.2005 12:50:05
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 744
ThreadCreationTime : 15.01.2005 12:50:06
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft? Windows?
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : ? Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 756
ThreadCreationTime : 15.01.2005 12:50:06
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 912
ThreadCreationTime : 15.01.2005 12:50:07
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 936
ThreadCreationTime : 15.01.2005 12:50:07
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1140
ThreadCreationTime : 15.01.2005 12:50:09
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1176
ThreadCreationTime : 15.01.2005 12:50:09
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1416
ThreadCreationTime : 15.01.2005 12:50:09
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1636
ThreadCreationTime : 15.01.2005 12:50:12
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft? Windows?
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : ? Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE
Warning! 180Solutions Object found in memory(c:\programme\search-assistant\saaphook.dll)

180Solutions Object Recognized!
Type : Process
Data : saaphook.dll
Category : Data Miner
Comment :
Object : c:\programme\search-assistant\


"C:\WINDOWS\Explorer.EXE"Process terminated successfully

#:12 [khooker.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 260
ThreadCreationTime : 15.01.2005 12:50:17
BasePriority : Normal
FileVersion : 0.0.0.2098
ProductVersion : 0.0.0.2098
ProductName : SIS (R) Compatible Super VGA keyboard daemon for Windows 2000/XP
CompanyName : Silicon Integrated Systems Corporation
FileDescription : SiS Compatible Super VGA Keyboard Daemon
InternalName : KHOOKER 2.09j.03
LegalCopyright : Copyright (C) Silicon Integrated Systems Corp. 1998-2002
OriginalFilename : KHOOKER.EXE
Comments : SiS Compatible Super VGA Keyboard Daemon

#:13 [pctspk.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 276
ThreadCreationTime : 15.01.2005 12:50:17
BasePriority : Normal
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : pctvoice Application
FileDescription : pctvoice MFC Application
InternalName : pctvoice
LegalCopyright : Copyright (C) 2001
OriginalFilename : pctvoice.EXE

#:14 [lvcoms.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\
ProcessID : 284
ThreadCreationTime : 15.01.2005 12:50:17
BasePriority : Normal
FileVersion : 7.3.0.1113
ProductVersion : 7.3.0.1113
ProductName : Logitech ImageStudio
CompanyName : Logitech Inc.
FileDescription : LVCom Server
InternalName : LVComS.exe
LegalCopyright : (c) 1996-2002 Logitech. All rights reserved.
OriginalFilename : LVComS.exe

#:15 [rundll32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 356
ThreadCreationTime : 15.01.2005 12:50:18
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft? Windows?
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : ? Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

#:16 [hpotdd01.exe]
FilePath : C:\Programme\Hewlett-Packard\Digital Imaging\bin\
ProcessID : 380
ThreadCreationTime : 15.01.2005 12:50:18
BasePriority : Normal
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : Hewlett-Packard hpotdd01
CompanyName : Hewlett-Packard
FileDescription : hpotdd01
InternalName : hpotdd01
LegalCopyright : Copyright ? 2002
OriginalFilename : hpotdd01.exe

#:17 [rundll32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 388
ThreadCreationTime : 15.01.2005 12:50:18
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft? Windows?
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : ? Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

#:18 [mmtask.exe]
FilePath : C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\
ProcessID : 484
ThreadCreationTime : 15.01.2005 12:50:19
BasePriority : Normal
FileVersion : 9.0.0.1
ProductVersion : 9.0.0.1
ProductName : Musicmatch Jukebox
CompanyName : Musicmatch Inc.
FileDescription : <Musicmatch System Tray Application>
InternalName : mmtask.exe
LegalCopyright : (c) Musicmatch Inc.. All rights reserved.
OriginalFilename : mmtask.exe

#:19 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 528
ThreadCreationTime : 15.01.2005 12:50:19
BasePriority : Normal
FileVersion : 0.1.0.3208
ProductVersion : 0.1.0.3208
ProductName : RealPlayer (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright ? RealNetworks, Inc. 1995-2004
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:20 [ituneshelper.exe]
FilePath : E:\Programme\iTunes\
ProcessID : 588
ThreadCreationTime : 15.01.2005 12:50:20
BasePriority : Normal
FileVersion : 4.7.0.42
ProductVersion : 4.7.0.42
ProductName : iTunes
CompanyName : Apple Computer, Inc.
FileDescription : iTunesHelper Module
InternalName : iTunesHelper
LegalCopyright : ? 2003-2004 Apple Computer, Inc. All Rights Reserved.
OriginalFilename : iTunesHelper.exe

#:21 [saap.exe]
FilePath : C:\programme\search-assistant\
ProcessID : 652
ThreadCreationTime : 15.01.2005 12:50:23
BasePriority : Normal
FileVersion : 5.16.15.0
ProductVersion : 5.16.15.0
ProductName : Search Assistant
CompanyName : 180solutions, Inc.
FileDescription : Search Assistant
LegalCopyright : Copyright ? 2004, 180solutions Inc.
Warning! 180Solutions Object found in memory(c:\programme\search-assistant\saaphook.dll)

180Solutions Object Recognized!
Type : Process
Data : saaphook.dll
Category : Data Miner
Comment :
Object : c:\programme\search-assistant\



#:22 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 976
ThreadCreationTime : 15.01.2005 12:50:24
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:23 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1208
ThreadCreationTime : 15.01.2005 12:50:25
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:24 [avguard.exe]
FilePath : E:\Programme\AntiVir\
ProcessID : 1308
ThreadCreationTime : 15.01.2005 12:50:26
BasePriority : Normal


#:25 [acrotray.exe]
FilePath : E:\Programme\adobe acrobat\Distillr\
ProcessID : 1480
ThreadCreationTime : 15.01.2005 12:50:29
BasePriority : Normal
FileVersion : 5, 0, 0, 0
ProductVersion : 5, 0, 0, 0
ProductName : AcroTray - Adobe Acrobat Distiller helper application.
CompanyName : Adobe Systems Inc.
FileDescription : AcroTray
InternalName : AcroTray
LegalCopyright : Copyright ? 2001
OriginalFilename : AcroTray.exe

#:26 [bttray.exe]
FilePath : E:\Programme\Bluetooth Dongle\
ProcessID : 1532
ThreadCreationTime : 15.01.2005 12:50:29
BasePriority : Normal
FileVersion : 1.4.2 Build 10
ProductVersion : 1.4.2 Build 10
ProductName : Bluetooth Software 1.4.2 Build 10
CompanyName : WIDCOMM, Inc.
FileDescription : Bluetooth Tray Application
InternalName : BTTray
LegalCopyright : Copyright WIDCOMM, Inc. 2000-2003.
OriginalFilename : BTTray.exe

#:27 [avwupsrv.exe]
FilePath : E:\Programme\AntiVir\
ProcessID : 1556
ThreadCreationTime : 15.01.2005 12:50:29
BasePriority : Normal


#:28 [scannerfinder.exe]
FilePath : E:\Programme\ScanWizard\
ProcessID : 1788
ThreadCreationTime : 15.01.2005 12:50:32
BasePriority : Normal
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : SDII Application
FileDescription : SDII MFC Application
InternalName : SDII
LegalCopyright : Copyright (C) 2000
OriginalFilename : SDII.EXE

#:29 [btwdins.exe]
FilePath : E:\Programme\Bluetooth Dongle\bin\
ProcessID : 1864
ThreadCreationTime : 15.01.2005 12:50:35
BasePriority : Normal
FileVersion : 1.4.2 Build 10
ProductVersion : 1.4.2 Build 10
ProductName : Bluetooth Software 1.4.2 Build 10
CompanyName : WIDCOMM, Inc.
FileDescription : Bluetooth Support Server
InternalName : BTWDIns
LegalCopyright : Copyright WIDCOMM, Inc. 2000-2003.
OriginalFilename : BTWDIns.EXE

#:30 [ctsvccda.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1580
ThreadCreationTime : 15.01.2005 12:50:37
BasePriority : Normal
FileVersion : 1.0.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Service for CDROM Access
CompanyName : Creative Technology Ltd
FileDescription : Creative Service for CDROM Access
InternalName : CTsvcCDAEXE
LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.
OriginalFilename : CTsvcCDA.EXE

#:31 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1108
ThreadCreationTime : 15.01.2005 12:50:38
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft? Windows? Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : ? Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:32 [mspmspsv.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 668
ThreadCreationTime : 15.01.2005 12:50:40
BasePriority : Normal
FileVersion : 7.00.00.1954
ProductVersion : 7.00.00.1954
ProductName : Microsoft (R) DRM
CompanyName : Microsoft Corporation
FileDescription : WMDM PMSP Service
InternalName : MSPMSPSV.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1981-2000
OriginalFilename : MSPMSPSV.EXE

#:33 [ipodservice.exe]
FilePath : C:\Programme\iPod\bin\
ProcessID : 2320
ThreadCreationTime : 15.01.2005 12:50:59
BasePriority : Normal
FileVersion : 4.7.0.42
ProductVersion : 4.7.0.42
ProductName : iTunes
CompanyName : Apple Computer, Inc.
FileDescription : iPodService Module
InternalName : iPodService
LegalCopyright : ? 2003-2004 Apple Computer, Inc. All Rights Reserved.
OriginalFilename : iPodService.exe

#:34 [ad-aware.exe]
FilePath : E:\Programme\AdAware\Ad-Aware SE Personal\
ProcessID : 3020
ThreadCreationTime : 15.01.2005 13:22:07
BasePriority : Normal
FileVersion : 6.2.0.200
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright ? Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
??????????????????????????????????????
New critical objects: 0
Objects found so far: 49


Started registry scan
??????????????????????????????????????

AltnetBDE Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\appid\altnet signing module.exe

AltnetBDE Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\appid\adm.exe

AltnetBDE Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\adm4.adm4.1

AltnetBDE Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\adm4.adm4

AltnetBDE Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\adm25.adm25.1

AltnetBDE Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\adm25.adm25

AltnetBDE Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\altnet

istbar.dotcomToolbar Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{9388907f-82f5-434d-a941-bb802c6dd7c1}

Registry Scan result:
??????????????????????????????????????
New critical objects: 8
Objects found so far: 57


Started deep registry scan
??????????????????????????????????????

Deep registry scan result:
??????????????????????????????????????
New critical objects: 0
Objects found so far: 57


Started Tracking Cookie scan
??????????????????????????????????????


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@ads.180solutions[1].txt
Category : Data Miner
Comment : 04.01.2005 17:00:42
Value : Cookie:uwe kreuzer@ads.180solutions.com/
Expires : 04.01.2010 17:02:54
LastSync : 04.01.2005 17:00:42
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@tradedoubler[1].txt
Category : Data Miner
Comment : 03.01.2005 23:54:10
Value : Cookie:uwe kreuzer@tradedoubler.com/
Expires : 29.12.2024 23:54:10
LastSync : 03.01.2005 23:54:10
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@serving-sys[1].txt
Category : Data Miner
Comment : 19.12.2004 11:12:56
Value : Cookie:uwe kreuzer@serving-sys.com/
Expires : 01.01.2038 06:00:00
LastSync : 19.12.2004 11:12:56
UseCount : 0
Hits : 465

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@2o7[1].txt
Category : Data Miner
Comment : 15.01.2005 14:09:24
Value : Cookie:uwe kreuzer@2o7.net/
Expires : 14.01.2010 14:11:48
LastSync : 15.01.2005 14:09:24
UseCount : 0
Hits : 259

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@z1.adserver[1].txt
Category : Data Miner
Comment : 27.09.2004 19:02:38
Value : Cookie:uwe kreuzer@z1.adserver.com/
Expires : 27.09.2005 19:03:28
LastSync : 27.09.2004 19:02:38
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@servedby.advertising[1].txt
Category : Data Miner
Comment : 02.01.2005 11:05:30
Value : Cookie:uwe kreuzer@servedby.advertising.com/
Expires : 01.02.2005 11:07:28
LastSync : 02.01.2005 11:05:30
UseCount : 0
Hits : 243

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@gator[1].txt
Category : Data Miner
Comment : 09.10.2004 00:19:02
Value : Cookie:uwe kreuzer@gator.com/
Expires : 08.12.2004 00:20:02
LastSync : 09.10.2004 00:19:02
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@casalemedia[2].txt
Category : Data Miner
Comment : 09.01.2005 01:55:48
Value : Cookie:uwe kreuzer@casalemedia.com/
Expires : 30.12.2005 20:58:04
LastSync : 09.01.2005 01:55:48
UseCount : 0
Hits : 7

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@partners.webmasterplan[1].txt
Category : Data Miner
Comment : 02.01.2005 13:46:22
Value : Cookie:uwe kreuzer@partners.webmasterplan.com/
Expires : 01.02.2005
LastSync : 02.01.2005 13:46:22
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@cgi-bin[1].txt
Category : Data Miner
Comment : 02.01.2005 13:46:26
Value : Cookie:uwe kreuzer@imrworldwide.com/cgi-bin
Expires : 19.01.2009
LastSync : 02.01.2005 13:46:26
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@advertising[1].txt
Category : Data Miner
Comment : 09.12.2004 22:04:48
Value : Cookie:uwe kreuzer@advertising.com/
Expires : 08.12.2009 22:06:40
LastSync : 09.12.2004 22:04:48
UseCount : 0
Hits : 79

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@as1.falkag[1].txt
Category : Data Miner
Comment : 10.01.2005 13:08:26
Value : Cookie:uwe kreuzer@as1.falkag.de/
Expires : 09.02.2005 13:10:44
LastSync : 10.01.2005 13:08:26
UseCount : 0
Hits : 22

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@zango[1].txt
Category : Data Miner
Comment : 02.01.2005 12:16:12
Value : Cookie:uwe kreuzer@zango.com/
Expires : 18.01.2038 01:00:00
LastSync : 02.01.2005 12:16:12
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@doubleclick[1].txt
Category : Data Miner
Comment : 01.12.2004 12:37:56
Value : Cookie:uwe kreuzer@doubleclick.net/
Expires : 01.12.2004 12:54:40
LastSync : 01.12.2004 12:37:56
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@bs.serving-sys[1].txt
Category : Data Miner
Comment : 28.05.2004 19:55:04
Value : Cookie:uwe kreuzer@bs.serving-sys.com/
Expires : 01.01.2038 09:00:00
LastSync : 28.05.2004 19:55:04
UseCount : 0
Hits : 65

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : uwe kreuzer@mediaplex[1].txt
Category : Data Miner
Comment : 23.09.2004 17:26:20
Value : Cookie:uwe kreuzer@mediaplex.com/
Expires : 22.06.2009 01:00:00
LastSync : 23.09.2004 17:26:20
UseCount : 0
Hits : 3

Tracking cookie scan result:
??????????????????????????????????????
New critical objects: 16
Objects found so far: 73



Deep scanning and examining files (C:)
??????????????????????????????????????

Disk Scan Result for C:\
??????????????????????????????????????
New critical objects: 0
Objects found so far: 73


Deep scanning and examining files (D:)
??????????????????????????????????????

Disk Scan Result for D:\
??????????????????????????????????????
New critical objects: 0
Objects found so far: 73


Deep scanning and examining files (E:)
??????????????????????????????????????

Disk Scan Result for E:\
??????????????????????????????????????
New critical objects: 0
Objects found so far: 73


Deep scanning and examining files (F:)
??????????????????????????????????????

Disk Scan Result for F:\
??????????????????????????????????????
New critical objects: 0
Objects found so far: 73


Deep scanning and examining files (G:)
??????????????????????????????????????

Disk Scan Result for G:\
??????????????????????????????????????
New critical objects: 0
Objects found so far: 73


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
????????????????????????????????????????????????????????????????????????????

Hosts file scan result:
??????????????????????????????????????
3 entries scanned.
New critical objects:0
Objects found so far: 73




Performing conditional scans...
??????????????????????????????????????

Conditional scan result:
??????????????????????????????????????
New critical objects: 0
Objects found so far: 73

14:35:48 Scan Complete

Summary Of This Scan
??????????????????????????????????????
Total scanning time:00:12:44.109
Objects scanned:128217
Objects identified:24
Objects ignored:0
New critical objects:24
 
Edit: Ups. Zu spät *g*

Hi.

Was ist ein Dropper: http://de.wikipedia.org/wiki/Dropper

Also:
[saap] c:\programme\search-assistant\saap.exe

Ist schonmal Spyware.

Diese wird bei jedem Start durch den Eintrag:
O4 - HKLM\..\Run: [saap] c:\programme\search-assistant\saap.exe

ausgeführt.

___

O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

Sieht auch verdächtig nach Spyware aus. Es sei denn der Inhalt dieses Verzeichnisses ist gewünscht und gewollt installiert.

___

Genauso wie:
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

___

O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://64.124.45.181/downloads/ccpm_0237.cab

Ist ebenfalls verdächtig. Ein Whois der IP ergibt "FIRST HAND CAPITAL MANAGEMENT".


Weiter habe ich jetzt nichts auffäliiges entdecken können.

Du solltest Windows neu, im Abgesicherten Modus starten. Dazu startest du Widows neu und drückst während des Bootens, F8. Dann folgst du den Anweisungen auf dem Bildschirm.

Im abgesicherten Modus, kannst du nun die entsprechenden Verzeichnisse und Registrierungsschlüssel löschen. Der abgesicherte Modus verhindert zum 1. das sich nach dem Löschen neue Instanzen erstellen und 2. das nicht alle Dateien gelöscht werden können, da sie "gerade von einem anderen programm verwendet werden".
Du solltest auch im abgesicherten Modus einen kompletten Virenscan durchführen sowie mit Adaware oder vergleichbare Produkte einen Komplettscan durchführen.

edit:
Running processes:
C:\WINDOWS\system32\spoolsv.exe----möglicher Trojaner-----------------> x
Zum Vergrößern anklicken....
Blödsinn.

C:\WINDOWS\System32\ctfmon.exe------möglicher-----------Trojaner---->
C:\WINDOWS\Explorer.EXE -----------------------------------------------> x
Zum Vergrößern anklicken....
Ebenfalls.

C:\WINDOWS\System32\khooker.exe------------Trojaner---------------------> x
Zum Vergrößern anklicken....
http://www.anti-spy.info/process/khooker.exe.html

C:\WINDOWS\System32\CTSvcCDA.EXE------------------Trojaner----------> x
C:\WINDOWS\System32\MsPMSPSv.exe--------------------Trojaner--------> x
Zum Vergrößern anklicken....
CTSvcCDA.EXE - Creative CD-Rom Treiber
MsPMSPSv.exe - gehört zum Windows MediaPlayer

Sofern entspr. Programme verwendet werden also absolut in ordnung.

Im Internet finden sich zu nahezu jedem "verdächtigen" Prozess entspr. Informationen. Also erstmal Googlen ob sie vielleicht zu eingesetzen Programmen gehören, anstatt den "Pferde scheu" zu machen. Sonst ist er in ner Stunde wieder da, weil sein System zerschossen ist, nur weil er ansich hamlose Prozesse gekillt hat ^^.
 
@Osterhase

Wen du alles gefixt hast dann befolge noch die Ratschläge von @Mackz.
Das wird je erst mal einige Zeit in Anspruch nehmen.

Es gibt noch ein Tool ist Freeware, google mal nach _RegCleaner_.

Dieses Tool kann Programme Deinstallieren und räumt auch deine Registry auf.


Aber jetzt mal Ehrlich, wenn ich du wäre würde ich XP neu Installieren. Du hast einfach zuviel Schrott gesammelt.

So und noch einige nützliche Anhänge:

erde
 
@erde:

Vielen Dank für die sorgfältige Hilfe! Mir ist aufgefallen, dass eine ganze Menge der von Dir markierten Prozesse/Files zu irgendwelchen Programmen gehören - soll ich die wirklich fixen?

Zum Thema Backup: Hab seit seligen Windows98-Zeiten kein Backup gemacht - und jetzt will der blöde Rechner eine Diskette haben, obwohl ich doch gar kein Laufwerk mehr habe... Und nu?

@mackz: Herzlichen Dank, auch für die Links!
 
@Osterhase

soll ich die wirklich fixen?
Zum Vergrößern anklicken....

Nein, nicht unbedingt wenn du dir nicht sicher bist.

Zum Thema Backup: Hab seit seligen Windows98-Zeiten kein Backup gemacht - und jetzt will der blöde Rechner eine Diskette haben, obwohl ich doch gar kein Laufwerk mehr habe... Und nu?
Zum Vergrößern anklicken....

Das Backup solltest du mit _HijackThis_ erstellen nach denn Scan, siehe Anhänge.

erde

Edit:

Dropper DR180/Solutions auf Windows XP
Hab seit seligen Windows98-Zeiten kein Backup gemacht
Zum Vergrößern anklicken....

Ja hast du jetzt Windows XP oder Windows98?
 
Das ist ja einfach! =)

Hab übrigens diese saap-Files entfernt - jetzt krieg ich keine Dropper-Meldung mehr angezeigt! Jippiiiih! :)

Vielen herzlichen Dank für die Hilfe, ging ja sehr flott - jetzt mach ich mich mal nach Euren Anweisungen ans Aufräumen der Registry etc.

XP neu installieren - ich weiß nicht... Hab erst neulich den 98-Rechner von meiner Freundin neu bespielt - und jetzt findet das Notebook das integrierte Modem nicht mehr und so weiter... Hab dermaßen viele Programme installiert und bin gerade mitten in der Prüfungsphase an der Uni, da hab ich wohl nicht den Nerv dafür! Aber danke für den Tipp, vielleicht mach ich's mal in der vorlesungsfreien Zeit!

Wünsch Euch noch ein schönes Wochenende, nochmal vielen lieben Dank!
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben