Welcome to MalwareRemoval.com,
What if we told you that you could get malware removal help from experts, and that it was 100% free? MalwareRemoval.com provides free support for people with infected computers. Our help, and the tools we use are always 100% free. No hidden catch. We simply enjoy helping others. You enjoy a clean, safe computer.

Malware Removal Instructions

IE ad popups altough using firefox

MalwareRemoval.com provides free support for people with infected computers. Using plain language that anyone can understand, our community of volunteer experts will walk you through each step.

IE ad popups altough using firefox

Unread postby bomika » November 10th, 2007, 6:25 pm

Hi,
although I am using firefox 99% of the time, I am getting annoying IE pop-ups from Powered by Zedo, Skypoker, ask, etc. I use several virus scanners but no effect, the IE pop-ups still show up at random time points, even when firefox is closed.

Here is my log. Thanks so much for any help!
Bomika

------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:15, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\WLAN\WLAN\wlanutil.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=172.20.1.1:8080;https=172.20.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = caesar: 172.20.1.2
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [a0edf4ad] rundll32.exe "C:\WINDOWS\system32\rwakwwyp.dll",b
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programme\WLAN\WLAN\wlanutil.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9254598359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0032E88.dat
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\xgqbjpth.exe (file missing)
O23 - Service: Ereignisprotokoll-Ãœberwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6938 bytes
bomika
Active Member
 
Posts: 6
Joined: November 10th, 2007, 6:19 pm
Advertisement
Register to Remove

Re: IE ad popups altough using firefox

Unread postby Simon V. » November 13th, 2007, 7:51 am

Hello, and welcome to the forum.

My name is Simon V., and I'll be glad to help you with your computer problems.

Step 1

Please disable Windows Defender Real Time Protection as it may interfere with the fix.

  • Open Windows Defender.
  • Click on Tools.
  • Click General Settings.
  • Scroll down to Real Time Protection Options.
  • Uncheck Turn on Real Time Protection (recommended).
  • Close Windows Defender and reboot your computer.

Note: Be sure to enable Windows Defender Real Time Protection when you are clean!

Step 2

Please download ATF Cleaner. Double-click on ATF-Cleaner.exe to start the program.

  • Under the Main tab, put a check next to Select All.
    Click the Empty Selected button. (Note: if you remove cookies, automated login at forums and sites will be disabled. If you do not want this, uncheck Cookies)
  • If you use the Firefox browser:
    Click on Firefox at the top and put a check next to Select All.
    If you would like to keep your saved passwords, click No at the prompt.
    Click the Empty Selected button. (Note: if you remove cookies, automated login at forums and sites will be disabled. If you do not want this, uncheck Cookies)
  • If you use the Opera browser:
    Click on Opera at the top and put a check next to Select All.
    If you would like to keep your saved passwords, click No at the prompt.
    Click the Empty Selected button. (Note: if you remove cookies, automated login at forums and sites will be disabled. If you do not want this, uncheck Cookies)

Step 3

Please download Combofix:


Double-click on combofix.exe and follow the prompts.
When finished, it will produce a log for you. Save it to a convenient location.

Note: Do not mouseclick Combofix's window whilst it's running. That may cause it to stall.

Step 4

Please download and install CCleaner.

  • Open CCleaner. In the Left Pane, click Tools.
  • Verify that Uninstall is highlighted in color, or click on it.
  • In the lower right, click Save to Text File.
  • Pull down the arrow at the top of the Save dialog and choose Desktop as the location.
  • You can leave the filename as install.txt.
  • Click Save.
  • Exit Ccleaner by clicking on the X button in the upper right of the CCleaner window.

Step 5

In your next reply, please post:

  • the Combofix log (C:\Combofix.txt)
  • the CCleaner Uninstall List
  • a new HijackThis log
User avatar
Simon V.
MRU Emeritus
MRU Emeritus
 
Posts: 3388
Joined: November 11th, 2006, 3:35 pm
Location: Antwerp, Belgium

Re: IE ad popups although using firefox

Unread postby bomika » November 13th, 2007, 5:20 pm

Hi Simon,
I am so thankful for your help! Since I posted my first message annoying warnings started to show up in the task bar as well ("System Alert" etc.)
Here are my logs.
Many thanks!
Bomika

======================== Combofix log =======================================================================
ComboFix 07-11-08.1 - username 2007-11-13 20:48:18.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.44.1031.18.140 [GMT 0:00]
ausgeführt von:: C:\Dokumente und Einstellungen\username\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\Administrator\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Administrator\Favoriten\Online Security Guide.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Favoriten\Online Security Guide.lnk
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\__c003169C.dat
C:\WINDOWS\system32\cfsinjkw.ini2
C:\WINDOWS\system32\cfsinjkw.tmp
C:\WINDOWS\system32\ddayy.dll
C:\WINDOWS\system32\drivers\fmtr.sys
C:\WINDOWS\system32\frcougyj.dll
C:\WINDOWS\system32\grkckdbi.dllbox
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\yyadd.bak1
C:\WINDOWS\system32\yyadd.bak2
C:\WINDOWS\system32\yyadd.ini
C:\WINDOWS\system32\yyadd.ini2
C:\WINDOWS\system32\yyadd.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-10-13 bis 2007-11-13 ))))))))))))))))))))))))))))))
.

2007-11-13 20:49 71,232 --a------ C:\WINDOWS\system32\nvmqaoej.exe
2007-11-13 20:45 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-13 20:35 88,128 --a------ C:\WINDOWS\system32\viaefygi.dll
2007-11-13 07:55 80,448 --a------ C:\WINDOWS\system32\boybwphm.dll
2007-11-13 07:52 88,128 --a------ C:\WINDOWS\system32\qxcgvddi.dll
2007-11-13 07:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2007-11-13 07:49 <DIR> d-------- C:\Programme\Yahoo!
2007-11-13 07:49 <DIR> d-------- C:\Programme\CCleaner
2007-11-13 07:15 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-13 07:15 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-11-13 07:15 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-13 07:15 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-13 07:15 3,126 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-13 07:11 89,664 --a------ C:\WINDOWS\system32\uaffnmki.dll
2007-11-13 07:11 81,472 --a------ C:\WINDOWS\system32\jobptftn.dll
2007-11-13 01:19 89,664 --------- C:\WINDOWS\system32\cskgatgd.dll
2007-11-13 01:16 81,472 --a------ C:\WINDOWS\system32\nhdsnrsv.dll
2007-11-13 00:16 81,472 --a------ C:\WINDOWS\system32\hhifklgp.dll
2007-11-12 23:52 89,664 --a------ C:\WINDOWS\system32\wkjnisfc.dll
2007-11-12 23:32 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-11-12 23:32 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-11-12 23:31 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-11-12 23:30 4,327,712 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-12 23:30 81,472 --a------ C:\WINDOWS\system32\qiitninn.dll
2007-11-12 23:30 16,928 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-12 23:29 <DIR> d-------- C:\kav
2007-11-12 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\IE7Pro
2007-11-12 22:59 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Talkback
2007-11-12 22:56 <DIR> d--h----- C:\Dokumente und Einstellungen\user\Vorlagen
2007-11-12 22:56 <DIR> d---s---- C:\Dokumente und Einstellungen\user\UserData
2007-11-12 22:56 <DIR> dr------- C:\Dokumente und Einstellungen\user\Startmen
2007-11-12 22:56 <DIR> d--h----- C:\Dokumente und Einstellungen\user\Netzwerkumgebung
2007-11-12 22:56 <DIR> d--h----- C:\Dokumente und Einstellungen\user\Lokale Einstellungen
2007-11-12 22:56 <DIR> dr------- C:\Dokumente und Einstellungen\user\Favoriten
2007-11-12 22:56 <DIR> dr------- C:\Dokumente und Einstellungen\user\Eigene Dateien
2007-11-12 22:56 <DIR> d--h----- C:\Dokumente und Einstellungen\user\Druckumgebung
2007-11-12 22:56 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\You've Got Pictures Screensaver
2007-11-12 22:56 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\CyberLink
2007-11-12 22:56 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\AOL
2007-11-12 22:56 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Ahead
2007-11-12 22:56 <DIR> dr-h----- C:\Dokumente und Einstellungen\user\Anwendungsdaten
2007-11-12 21:47 89,664 --a------ C:\WINDOWS\system32\yhoqimfq.dll
2007-11-12 21:44 81,472 --a------ C:\WINDOWS\system32\jrnsqupe.dll
2007-11-12 19:18 144,480 --------- C:\WINDOWS\system32\grkckdbi.dll
2007-11-11 23:17 594 --a------ C:\Dokumente und Einstellungen\username\Anwendungsdaten\wklnhst.dat
2007-11-11 21:25 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\IE7Pro
2007-11-10 12:45 <DIR> d-------- C:\Programme\Lavasoft
2007-11-10 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-11-10 12:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 12:42 <DIR> d-------- C:\Programme\Windows Defender
2007-11-10 08:32 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Subversion
2007-11-10 08:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Vorlagen
2007-11-10 08:30 <DIR> d---s---- C:\Dokumente und Einstellungen\Admin\UserData
2007-11-10 08:30 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Startmen
2007-11-10 08:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Netzwerkumgebung
2007-11-10 08:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen
2007-11-10 08:30 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Favoriten
2007-11-10 08:30 <DIR> dr------- C:\Dokumente und Einstellungen\Admin\Eigene Dateien
2007-11-10 08:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Admin\Druckumgebung
2007-11-10 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\You've Got Pictures Screensaver
2007-11-10 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\CyberLink
2007-11-10 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AOL
2007-11-10 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ahead
2007-11-10 08:30 <DIR> dr-h----- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten
2007-11-09 23:30 <DIR> d-------- C:\Programme\IE7Pro
2007-11-09 23:30 <DIR> d-------- C:\Dokumente und Einstellungen\username\Anwendungsdaten\IE7Pro
2007-11-09 07:02 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-09 07:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-11-08 21:50 <DIR> d-------- C:\Programme\Alwil Software
2007-11-08 09:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-07 08:36 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-11-07 08:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-07 08:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-07 08:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2007-11-07 08:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-07 08:01 <DIR> d-------- C:\Programme\Trend Micro
2007-11-07 07:24 6,058,496 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-11-07 07:24 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-11-07 07:24 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-11-07 07:24 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-11-07 07:24 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-11-07 07:24 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-07 07:24 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-11-07 07:24 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-11-07 07:22 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-11-04 11:13 <DIR> d-------- C:\Temp\mZOr
2007-11-04 11:13 <DIR> d-------- C:\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-13 20:59 60,032 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-13 20:59 2,612 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-13 20:33 --------- d-----w C:\Programme\Mozilla Sunbird
2007-11-12 10:11 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\uTorrent
2007-11-12 08:05 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\Skype
2007-11-11 14:31 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\WordToPDF
2007-11-11 12:57 --------- d-----w C:\Programme\Winamp
2007-11-10 08:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-09 23:46 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\OpenOffice.org2
2007-11-08 21:53 --------- d-----w C:\Programme\Google
2007-10-29 09:36 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\Subversion
2007-10-27 18:04 --------- d-----w C:\Programme\Skype
2007-10-27 16:55 --------- d-----w C:\Programme\WordToPDF
2007-10-13 19:06 --------- d-----w C:\Programme\Audible
2007-10-12 21:18 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\vlc
2007-10-12 21:17 --------- d-----w C:\Programme\VideoLAN
2007-10-12 20:44 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\Ahead
2007-10-10 15:22 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\TortoiseSVN
2007-10-01 09:54 --------- d-----w C:\Programme\TortoiseSVN
2007-09-13 13:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-13 10:13 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\AdobeUM
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-13 18:54 413,696 ----a-w C:\WINDOWS\system32\vbscript.dll
2007-08-13 18:54 156,160 ----a-w C:\WINDOWS\system32\msls31.dll
2007-08-13 18:45 78,336 ----a-w C:\WINDOWS\system32\ieencode.dll
2007-08-13 18:44 40,960 ----a-w C:\WINDOWS\system32\licmgr10.dll
2007-08-13 18:39 71,680 ----a-w C:\WINDOWS\system32\admparse.dll
2007-08-13 18:39 55,296 ----a-w C:\WINDOWS\system32\iesetup.dll
2007-08-13 18:36 36,352 ----a-w C:\WINDOWS\system32\imgutil.dll
2007-08-13 18:32 45,568 ----a-w C:\WINDOWS\system32\mshta.exe
2007-08-13 18:01 48,128 ----a-w C:\WINDOWS\system32\mshtmler.dll
2006-08-26 06:13 1,466 ----a-w C:\Dokumente und Einstellungen\user2\Anwendungsdaten\wklnhst.dat
2004-11-05 08:47:20 8 --sh--r C:\WINDOWS\system32\18F1AB3FF0.sys
2004-11-05 08:47:20 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34585454-b3a0-45f9-869c-4fe22077a10e}]
2007-11-13 07:11 81472 --a------ C:\WINDOWS\system32\jobptftn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{933d222e-a7ac-40ec-9f16-5d3e54f315d9}]
2007-11-13 07:55 80448 --a------ C:\WINDOWS\system32\boybwphm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A52058F3-D5DF-4987-B625-6971E10703E1}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-12 19:18 144480 --------- C:\WINDOWS\system32\grkckdbi.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\grkckdbi.dll [2007-11-12 19:18 144480]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-06 20:10]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 16:19 C:\WINDOWS\SOUNDMAN.EXE]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-11-08 13:25]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-03 04:59]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-14 22:22]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 12:00 C:\WINDOWS\AGRSMMSG.exe]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 17:19]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51]
"a0edf4ad"="C:\WINDOWS\system32\viaefygi.dll" [2007-11-13 20:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"=" "

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\grkckdbi]
grkckdbi.dll 2007-11-12 19:18 144480 C:\WINDOWS\system32\grkckdbi.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ddayy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\a0edf4ad]
rundll32.exe "C:\WINDOWS\system32\uaffnmki.dll",b

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
"C:\Programme\Windows Defender\MSASCui.exe" -hide

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
R3 EMSCR;EMSCR;C:\WINDOWS\system32\DRIVERS\EMS7SK.sys
R3 ESDCR;ESDCR;C:\WINDOWS\system32\DRIVERS\ESD7SK.sys
R3 ESMCR;ESMCR;C:\WINDOWS\system32\DRIVERS\ESM7SK.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
S3 Gcapi20;Intelligent CAPI 2.0 driver;C:\WINDOWS\system32\DRIVERS\gcapi20.sys
S3 Gisdnpnp;Intelligent ISDN PnP driver;C:\WINDOWS\system32\DRIVERS\gisdnpnp.sys
S3 gisdnwan;Intelligent ISDN WAN miniport;C:\WINDOWS\system32\DRIVERS\gisdnwan.sys
S3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys
S3 WLAN_USB; Wireless LAN USB Driver;C:\WINDOWS\system32\DRIVERS\wlanUSB.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-11-13 21:03:57 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-13 21:04:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-13 21:06:30 - machine was rebooted
.
--- E O F ---

======================== Ccleaner log =======================================================================

µTorrent
Ad-Aware 2007
Adobe Reader 8.1.0 - Deutsch
AFPL Ghostscript 7.04
AFPL Ghostscript Fonts
Agere Systems AC'97 Modem
AOL Coach Version 1.0(Build:20040229.1 de)
AOL Deutschland
AOL Meine Fotos Bildschirmschoner
AOL Optimized Dial-In
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
AudibleManager
AutoUpdate
Bitvise Tunnelier 4.04a (remove only)
CA Licensing
Canon i560
CCleaner (remove only)
DivX Player
DivX Pro
eMusic - 50 Free MP3 offer
Hercules Webcam
Hercules WebCam Station
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
Hot Potatoes v 6.0.4.27
Hotfix für Windows XP (KB914440)
IE7Pro
Informationen über Ihren PC
Intelligent ISDN Drivers
Java 2 Runtime Environment, SE v1.4.2_05
Kaspersky Anti-Virus 7.0
Kaspersky Online Scanner
Learn2 Player (Uninstall Only)
Logox 2.0
Macromedia Shockwave Player
MediaShow 3.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft AutoRoute 2005
Microsoft Digital Image Library 9 - Blocker
Microsoft Encarta Enzyklopädie 2005
Microsoft Flight Simulator 2004 - Das Jahrhundert der Luftfahrt
Microsoft Picture It! Foto Premium 10
Microsoft Picture It!-Bibliothek 10
Microsoft Speech API 3.0
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (2.0.0.9)
Mozilla Sunbird (0.5)
Mozilla Thunderbird (2.0.0.6)
MSN Messenger 6.2
MSXML 4.0 SP2 (KB936181)
Musicmatch® Jukebox
Nero Suite
OpenOffice.org 2.0
PhotoNow! 1.0
PowerCinema 3.0
PowerDirector
PowerDVD
PowerProducer
QuickTime
RealPlayer
Realtek AC'97 Audio
REALTEK Gigabit and Fast Ethernet NIC Driver
Setup-Start von Microsoft Works 2005
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Skype™ 3.5
Synaptics Pointing Device Driver
TortoiseSVN 1.4.5.10425 (32 bit)
Unlocker 1.8.5
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
VideoLAN VLC media player 0.8.6c
videon
Viewpoint Media Player
WebFldrs XP
WinAce Archiver
Winamp (remove only)
Windows Defender
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Connect
Windows Media Format Runtime
Windows Media Player 10
Windows Media Player Firefox Plugin
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows-Sicherungsprogramm
WinZip
Wireless LAN Utility
WordToPDF 2.4
Works Update
X10 Hardware(TM)
Yahoo! Install Manager
Yahoo! Toolbar

======================== HijackThis log ====================================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:09, on 13.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WLAN\WLAN\wlanutil.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=172.20.1.1:8080;https=172.20.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = caesar: 172.20.1.2
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IE7Pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {34585454-b3a0-45f9-869c-4fe22077a10e} - C:\WINDOWS\system32\jobptftn.dll
O2 - BHO: {9d513f45-e3d5-61f9-ce04-ca7ae222d339} - {933d222e-a7ac-40ec-9f16-5d3e54f315d9} - C:\WINDOWS\system32\boybwphm.dll
O2 - BHO: (no name) - {A52058F3-D5DF-4987-B625-6971E10703E1} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\grkckdbi.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\grkckdbi.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [a0edf4ad] rundll32.exe "C:\WINDOWS\system32\viaefygi.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programme\WLAN\WLAN\wlanutil.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9254598359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: grkckdbi - C:\WINDOWS\SYSTEM32\grkckdbi.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6755 bytes
bomika
Active Member
 
Posts: 6
Joined: November 10th, 2007, 6:19 pm

Re: IE ad popups altough using firefox

Unread postby Simon V. » November 13th, 2007, 5:48 pm

Hi :)

I understand that downloading music and other files may be important to you; however, the Peer-to-Peer programs that you are using to do that, even if they are not infected with malware, will bring malware into your system. Therefore, the chances of you becoming infected again are very high. This obviously can result in disabling your computer and could even lead to someone stealing sensitive personal data from your computer. Beyond the inconvenience this causes you, these programs also tend to use your computer as a server to spread more infection all over the internet, so your computer becomes a part of the malware problem.

Remember that no matter how clean the program you're using for Peer-to-Peer filesharing may be, it offers no guarantees regarding the cleanliness of files you may choose to download. All files available via Peer-to-Peer filesharing carry a high risk, particularly those that offer you illegitimate methods of using legitimate software programs without paying for them. Any program or file that offers you the ability to access non-freeware programs at no cost, e.g., pirated software and/or cracks/key generators for gaining access to legitimate software, is 100% guaranteed to contain malware.

Here is some information that looks at the rates of infection:

http://www.benedelman.org/spyware/p2p/

With that being said, I recommend that you remove the following Peer-to-Peer program(s):

µTorrent

Step 1

Click on Start, then Control Panel. Double click on Add or Remove Programs.

Please remove the following program(s):

  • eMusic - 50 Free MP3 offer

Step 2

Open Notepad (Go to Start > Run, type Notepad and hit Enter), and copy/paste the text in the quotebox below into it:

Code: Select all
File::

C:\WINDOWS\system32\nvmqaoej.exe
C:\WINDOWS\system32\viaefygi.dll
C:\WINDOWS\system32\boybwphm.dll
C:\WINDOWS\system32\qxcgvddi.dll
C:\WINDOWS\system32\uaffnmki.dll
C:\WINDOWS\system32\jobptftn.dll
C:\WINDOWS\system32\cskgatgd.dll
C:\WINDOWS\system32\nhdsnrsv.dll
C:\WINDOWS\system32\hhifklgp.dll
C:\WINDOWS\system32\wkjnisfc.dll
C:\WINDOWS\system32\qiitninn.dll
C:\WINDOWS\system32\yhoqimfq.dll
C:\WINDOWS\system32\jrnsqupe.dll
C:\WINDOWS\system32\grkckdbi.dll

Folder::

C:\Temp\mZOr

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34585454-b3a0-45f9-869c-4fe22077a10e}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{933d222e-a7ac-40ec-9f16-5d3e54f315d9}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A52058F3-D5DF-4987-B625-6971E10703E1}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"a0edf4ad"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"System"=""
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\grkckdbi]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\a0edf4ad]


Click on File > Save as....

In the File Name box, copy/paste CFScript.txt (Note: Do not change the filename!)

Click Save.

Image

Referring to the picture above, drag CFScript into ComboFix.exe.
It will create a log. Be sure to save it to a convenient location.

Step 3

Please download SmitfraudFix (by S!ri).

  • Double-click on SmitfraudFix.exe. A screen will pop up. Select Option 1 (Search) by typing 1 and hit Enter. A text file will appear, which will list the infected files. Save it to a convenient location.
  • The log will also be saved here: C:\rapport.txt

Note: process.exe is detected by some antivirus programs (AntiVir, Dr.Web, Kaspersky) as a "RiskTool"; it is not a virus, but a program used to stop system processes. Antivirus programs cannot distinguish between "good" and "malicious" use of such programs, therefore they may alert the user.

Step 4

Please do an online scan with Kaspersky WebScanner.

Click on Kaspersky Online Scanner. On the welcome screen, click Accept.

You will be promted to install an ActiveX component from Kaspersky, click Install.

  • The program will launch and then begin downloading the latest definition files.
  • Once the files have been downloaded click on Next.
  • Now click on Scan Settings.
  • In the scan settings make sure that the following are selected:

    • Scan using the following Anti-Virus database:

      Extended (if available, otherwise Standard)

    • Scan Options:

      Scan Archives
      Scan Mail Bases

  • Click OK.
  • Now under Select a Target to Scan:

    • Select My Computer.

  • The program will start and scan your system.
  • The scan will take a while so be patient and let it run.
  • Once the scan is complete it will display if your system has been infected.
  • Now click on the Save as Text button and save the file to your desktop.

Step 5

In your next reply, please post:

  • the Combofix log (C:\Combofix.txt)
  • the SmitfraudFix report
  • the Kaspersky Online Scan report
  • a new HijackThis log
User avatar
Simon V.
MRU Emeritus
MRU Emeritus
 
Posts: 3388
Joined: November 11th, 2006, 3:35 pm
Location: Antwerp, Belgium

Re: IE ad popups altough using firefox

Unread postby bomika » November 14th, 2007, 8:00 pm

Hi Simon,
thanks very much so far! I have one question: Kapersky found some trojans in my mail base, but if I put the kapersky log information online, I will publish email addresses of friends and colleagues by doing so. They would not like that I am sure. Is there a way to post the kapersky report without confidential information?
Many thanks,
Bomika
bomika
Active Member
 
Posts: 6
Joined: November 10th, 2007, 6:19 pm

Re: IE ad popups although using firefox

Unread postby bomika » November 14th, 2007, 8:07 pm

Hi Simon,
as a start, here are the combofix log, the SmitfraudFix report and the new HijackThis log:
Many thanks!
Bomika

===== the Combofix log (C:\Combofix.txt) ==========================================================================
ComboFix 07-11-08.1 - username 2007-11-13 22:01:05.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\username\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\username\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\boybwphm.dll
C:\WINDOWS\system32\cskgatgd.dll
C:\WINDOWS\system32\grkckdbi.dll
C:\WINDOWS\system32\hhifklgp.dll
C:\WINDOWS\system32\jobptftn.dll
C:\WINDOWS\system32\jrnsqupe.dll
C:\WINDOWS\system32\nhdsnrsv.dll
C:\WINDOWS\system32\nvmqaoej.exe
C:\WINDOWS\system32\qiitninn.dll
C:\WINDOWS\system32\qxcgvddi.dll
C:\WINDOWS\system32\uaffnmki.dll
C:\WINDOWS\system32\viaefygi.dll
C:\WINDOWS\system32\wkjnisfc.dll
C:\WINDOWS\system32\yhoqimfq.dll
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\username\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\username\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\username\Favoriten\Online Security Guide.lnk
C:\Temp\mZOr
C:\WINDOWS\system32\boybwphm.dll
C:\WINDOWS\system32\cskgatgd.dll
C:\WINDOWS\system32\grkckdbi.dll
C:\WINDOWS\system32\grkckdbi.dllbox
C:\WINDOWS\system32\hhifklgp.dll
C:\WINDOWS\system32\jobptftn.dll
C:\WINDOWS\system32\jrnsqupe.dll
C:\WINDOWS\system32\nhdsnrsv.dll
C:\WINDOWS\system32\nvmqaoej.exe
C:\WINDOWS\system32\qiitninn.dll
C:\WINDOWS\system32\qxcgvddi.dll
C:\WINDOWS\system32\uaffnmki.dll
C:\WINDOWS\system32\viaefygi.dll
C:\WINDOWS\system32\wkjnisfc.dll
C:\WINDOWS\system32\yhoqimfq.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-13 bis 2007-11-13 ))))))))))))))))))))))))))))))
.

2007-11-13 20:45 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-13 07:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2007-11-13 07:49 <DIR> d-------- C:\Programme\Yahoo!
2007-11-13 07:49 <DIR> d-------- C:\Programme\CCleaner
2007-11-13 07:15 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-13 07:15 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-11-13 07:15 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-13 07:15 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-13 07:15 3,126 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-12 23:29 <DIR> d-------- C:\kav
2007-11-11 23:17 594 --a------ C:\Dokumente und Einstellungen\username\Anwendungsdaten\wklnhst.dat
2007-11-10 12:45 <DIR> d-------- C:\Programme\Lavasoft
2007-11-10 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-11-10 12:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 12:42 <DIR> d-------- C:\Programme\Windows Defender
2007-11-09 23:30 <DIR> d-------- C:\Programme\IE7Pro
2007-11-09 23:30 <DIR> d-------- C:\Dokumente und Einstellungen\username\Anwendungsdaten\IE7Pro
2007-11-09 07:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-11-08 21:50 <DIR> d-------- C:\Programme\Alwil Software
2007-11-08 09:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-07 08:36 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-11-07 08:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-07 08:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-07 08:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-07 08:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2007-11-07 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2007-11-07 08:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-07 08:01 <DIR> d-------- C:\Programme\Trend Micro
2007-11-07 07:24 6,058,496 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-11-07 07:24 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-11-07 07:24 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-11-07 07:24 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-11-07 07:24 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-11-07 07:24 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-07 07:24 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-11-07 07:24 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-11-07 07:22 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-11-04 11:13 <DIR> d-------- C:\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-13 21:56 --------- d-----w C:\Programme\Winamp
2007-11-13 21:39 --------- d-----w C:\Programme\Mozilla Sunbird
2007-11-12 08:05 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\Skype
2007-11-11 14:31 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\WordToPDF
2007-11-10 08:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-09 23:46 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\OpenOffice.org2
2007-11-08 21:53 --------- d-----w C:\Programme\Google
2007-10-29 09:36 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\Subversion
2007-10-27 18:04 --------- d-----w C:\Programme\Skype
2007-10-27 16:55 --------- d-----w C:\Programme\WordToPDF
2007-10-13 19:06 --------- d-----w C:\Programme\Audible
2007-10-12 21:18 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\vlc
2007-10-12 21:17 --------- d-----w C:\Programme\VideoLAN
2007-10-12 20:44 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\Ahead
2007-10-10 15:22 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\TortoiseSVN
2007-10-01 09:54 --------- d-----w C:\Programme\TortoiseSVN
2007-09-13 13:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-13 10:13 --------- d-----w C:\Dokumente und Einstellungen\username\Anwendungsdaten\AdobeUM
2006-08-26 06:13 1,466 ----a-w C:\Dokumente und Einstellungen\user2\Anwendungsdaten\wklnhst.dat
2004-11-05 08:47:20 8 --sh--r C:\WINDOWS\system32\18F1AB3FF0.sys
2004-11-05 08:47:20 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-06 20:10]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 16:19 C:\WINDOWS\SOUNDMAN.EXE]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-11-08 13:25]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-03 04:59]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-14 22:22]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 12:00 C:\WINDOWS\AGRSMMSG.exe]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 17:19]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
"C:\Programme\Windows Defender\MSASCui.exe" -hide

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
R3 EMSCR;EMSCR;C:\WINDOWS\system32\DRIVERS\EMS7SK.sys
R3 ESDCR;ESDCR;C:\WINDOWS\system32\DRIVERS\ESD7SK.sys
R3 ESMCR;ESMCR;C:\WINDOWS\system32\DRIVERS\ESM7SK.sys
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
S3 Gcapi20;Intelligent CAPI 2.0 driver;C:\WINDOWS\system32\DRIVERS\gcapi20.sys
S3 Gisdnpnp;Intelligent ISDN PnP driver;C:\WINDOWS\system32\DRIVERS\gisdnpnp.sys
S3 gisdnwan;Intelligent ISDN WAN miniport;C:\WINDOWS\system32\DRIVERS\gisdnwan.sys
S3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys
S3 WLAN_USB; Wireless LAN USB Driver;C:\WINDOWS\system32\DRIVERS\wlanUSB.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-11-13 21:03:57 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-13 22:11:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-13 22:13:16 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-13 21:06
.
--- E O F ---

===== the SmitfraudFix report ==============================================================================
SmitFraudFix v2.250

Scan done at 22:15:31,61, 13.11.2007
Run from C:\Dokumente und Einstellungen\borgwardt\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WLAN\WLAN\wlanutil.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\username


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\username\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\BORGWA~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC
DNS Server Search Order: 194.168.4.100
DNS Server Search Order: 194.168.8.100

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D73D9348-2757-45C8-BD36-1177DCABB705}: DhcpNameServer=194.168.4.100 194.168.8.100
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D73D9348-2757-45C8-BD36-1177DCABB705}: DhcpNameServer=194.168.4.100 194.168.8.100
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D73D9348-2757-45C8-BD36-1177DCABB705}: DhcpNameServer=194.168.4.100 194.168.8.100
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=194.168.4.100 194.168.8.100
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=194.168.4.100 194.168.8.100
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=194.168.4.100 194.168.8.100


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


===== a new HijackThis log ===================================================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:05:14, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WLAN\WLAN\wlanutil.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=172.20.1.1:8080;https=172.20.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = caesar: 172.20.1.2
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IE7Pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programme\WLAN\WLAN\wlanutil.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9254598359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5889 bytes
bomika
Active Member
 
Posts: 6
Joined: November 10th, 2007, 6:19 pm

Re: IE ad popups altough using firefox

Unread postby Simon V. » November 15th, 2007, 2:49 am

Is there a way to post the kapersky report without confidential information?


I'll need to know who those e-mails are from when they are infected, so you can edit the addresses in the Kaspersky rapport this way:

name <at> domain <dot> com
or you can just write the name instead of the whole e-mail address, I just need to be able to tell you which ones to delete.

that way, spambots won't be able to catch them. If you want the names completely removed after the cleaning process, they can be edited.
User avatar
Simon V.
MRU Emeritus
MRU Emeritus
 
Posts: 3388
Joined: November 11th, 2006, 3:35 pm
Location: Antwerp, Belgium

Re: IE ad popups although using firefox

Unread postby bomika » November 15th, 2007, 4:59 pm

Hi Simon,
here you go.
Many thanks,
Bomika

=========================================================================

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Wednesday, November 14, 2007 11:54:02 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 14/11/2007
Kaspersky Anti-Virus database records: 459610
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 130027
Number of viruses found: 11
Number of infected objects: 61
Number of suspicious objects: 0
Duration of the scan process: 01:50:08

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Object is locked skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-11102007-124303.log Object is locked skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies\030625\0237\0192\values Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cert8.db Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\foxmarks.log Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\history.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\key3.db Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\parent.lock Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\search.sqlite Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\urlclassifier2.sqlite Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\zotero\zotero.sqlite Object is locked skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Sun, 7 Oct 2007 04:41:15 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sun, 07 Oct 2007 20:35:46 +0100]/text/[From <brendaAT DOMAINextrapureair.com>][Date Mon, 08 Oct 2007 02:26:35 +0200]/text/[From Le s <lesAT DOMAINit.usyd.edu.au>][Da ... /[From Le s <lesAT DOMAINit.usyd.edu.au>][Date Mon, 08 Oct 2007 11:17:43 + ... /she.exe Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Sun, 7 Oct 2007 04:41:15 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sun, 07 Oct 2007 20:35:46 +0100]/text/[From <brendaAT DOMAINextrapureair.com>][Date Mon, 08 Oct 2007 02:26:35 +0200]/text/[From Le s <lesAT DOMAINit.usyd.edu.au>][Da ... /[From Le s <lesAT DOMAINit.usyd.edu.au>][Date Mon, 08 Oct 2007 11:17:43 +1000]/UNNAMED Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Sun, 7 Oct 2007 04:41:15 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sun, 07 Oct 2007 20:35:46 +0100]/text/[From <brendaAT DOMAINextrapureair.com>][Date Mon, 08 Oct 2007 02:26:35 +0200]/text/[From Le s <lesAT DOMAINit.usyd.edu.au>][Date Mon, 08 Oct 2007 10:25:13 +1000]/text Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Sun, 7 Oct 2007 04:41:15 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sun, 07 Oct 2007 20:35:46 +0100]/text/[From <brendaAT DOMAINextrapureair.com>][Date Mon, 08 Oct 2007 02:26:35 +0200]/text Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Sun, 7 Oct 2007 04:41:15 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sun, 07 Oct 2007 20:35:46 +0100]/text Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Sun, 7 Oct 2007 04:41:15 -0700]/UNNAMED Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Fri, 12 Oct 2007 13:29:50 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sat, 13 Oct 2007 09:13:29 +0100]/text/[From "Toby Watkins" <shantel.dalzellAT DOMAINums.pl>][Date Sat, 13 Oct 2007 05:32:03 +0000]/UNNAMED/she.exe Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Fri, 12 Oct 2007 13:29:50 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sat, 13 Oct 2007 09:13:29 +0100]/text/[From "Toby Watkins" <shantel.dalzellAT DOMAINums.pl>][Date Sat, 13 Oct 2007 05:32:03 +0000]/UNNAMED Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Fri, 12 Oct 2007 13:29:50 -0700]/UNNAMED/[From k b <k.bAT DOMAINgmx.de>][Date Sat, 13 Oct 2007 09:13:29 +0100]/text Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From eBay <outbidnoticeAT DOMAINebay.co.uk>][Date Fri, 12 Oct 2007 13:29:50 -0700]/UNNAMED Infected: Trojan-Dropper.Win32.Agent.bzp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From Marc d <mpd37AT DOMAINcam.ac.uk>][Date Fri, 26 Oct 2007 10:40:50 +0100]/text/[From k b <k.borgwa ... /[From "Janie Lunsford" <konAT DOMAINbothwelllaw.com>][Date Fri, 26 Oct 2007 11:43:39 -0600]/UNNAMED Infected: Exploit.Win32.PDF-URI.k skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From Marc d <mpd37AT DOMAINcam.ac.uk>][Date Fri, 26 Oct 2007 10:40:50 +0100]/text/[From k b <k.bAT DOMAINgmx.de>][Date Fri, 26 Oct 2007 11:21:32 +0100]/text Infected: Exploit.Win32.PDF-URI.k skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From Marc d <mpd37AT DOMAINcam.ac.uk>][Date Fri, 26 Oct 2007 10:40:50 +0100]/text Infected: Exploit.Win32.PDF-URI.k skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... .. ... /[From "Jayson Rock" <tersAT DOMAINequivocal.net>][Date Mon, 29 Oct 2007 14:28:04 -0800]/UNNAMED Infected: Exploit.Win32.PDF-URI.l skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... /[From "Royce Frazier" <guiomar.danbyAT DOMAINwaika.com>][Date Tue, 30 Oct 2007 08:04:05 ... /girl.exe Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... /[From "Royce Frazier" <guiomar.danbyAT DOMAINwaika.com>][Date Tue, 30 Oct 2007 08:04:05 +0000]/UNNAMED Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppo ... /[From "Erika Rubin" <deanna.danbyAT DOMAINvhs-goetzis.at>][Date Tue, 30 Oct 2007 09:16:45 ... /girl.exe Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppo ... /[From "Erika Rubin" <deanna.danbyAT DOMAINvhs-goetzis.at>][Date Tue, 30 Oct 2007 09:16:45 +0000]/UNNAMED Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... ... /[F ... /[From "ISCB Admin" <adminAT DOMAINiscb.org>][Date Tue, 30 Oct 2007 08:04:05 +0000]/UNNAMED Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... ... /[From "Regan Hui" <personnel-1AT DOMAINcuhk.edu.hk>][Date Mon, 29 Oct 2007 22:53:09 -0500]/UNNAMED Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... /[Fro ... /[From GMX Best Price <mailingsAT DOMAINgmx.net>][Date Mon, 29 Oct 2007 13:03:02 GMT]/UNNAMED Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... /[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 22:35:18 +0000]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... /[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 22:15:52 +0000]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... /[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 22:08:58 +0000]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... ... /[From z g <zAT DOMAINeng.cam.ac.uk>][Date Mon, 29 Oct 2007 15:09:21 +0000]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <suppor ... /[From "researchAT DOMAINmgrc.com.my" <researchAT DOMAINmgrc.com.my>][Date Mon, 29 Oct 2007 22:03:13 +0800]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text/[From Campus LMU <supportAT DOMAINcampus.lmu.de>][Date Mon, 29 Oct 2007 14:45:59 +0100 (CET)]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text/[From k b <k.bAT DOMAINgmx.de>][Date Mon, 29 Oct 2007 13:29:42 +0000]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text/[From ml468AT DOMAINcam.ac.uk][Date Thu, 25 Oct 2007 21:30:25 +0200]/UNNAMED Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From z g <zAT DOMAINeng.cam.ac.uk>][Date Thu, 25 Oct 2007 14:01:09 +0100]/text Infected: Trojan.Win32.Pakes.bmo skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "Cathryn Giles" <giordano.danbyAT DOMAINvurderingskontoret.dk>][Date Thu, 1 Nov 2007 11:55:01 -0500]/UNNAMED/update.exe Infected: Trojan.Win32.Pakes.bmp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "Cathryn Giles" <giordano.danbyAT DOMAINvurderingskontoret.dk>][Date Thu, 1 Nov 2007 11:55:01 -0500]/UNNAMED Infected: Trojan.Win32.Pakes.bmp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From v h <v.hAT DOMAINyahoo.de>][Date Fri, 2 Nov 2007 20:59:40 +0000 (GMT)]/UNNAMED/[From YSO-8859-15?Q?h_b? <h.beAT DOMAINextern.lrz-muenchen.de>][Date Fri, 02 Nov 2007 22:06:43 +0100]/text/[From - Sun Nov 04 09:50:29 2007][Date Sat, 3 Nov 2007 ... /[From "patrizia grifoni" <patrizia.grifoniAT DOMAINirpps.cnr.it>][Date Sat, 3 Nov 2007 18:02:54 ... /game.exe Infected: Trojan-Spy.Win32.KeyLogger.rp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From v h <v.hAT DOMAINyahoo.de>][Date Fri, 2 Nov 2007 20:59:40 +0000 (GMT)]/UNNAMED/[From YSO-8859-15?Q?h_b? <h.beAT DOMAINextern.lrz-muenchen.de>][Date Fri, 02 Nov 2007 22:06:43 +0100]/text/[From - Sun Nov 04 09:50:29 2007][Date Sat, 3 Nov 2007 ... /[From "patrizia grifoni" <patrizia.grifoniAT DOMAINirpps.cnr.it>][Date Sat, 3 Nov 2007 18:02:54 -0500]/UNNAMED Infected: Trojan-Spy.Win32.KeyLogger.rp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From v h <v.hAT DOMAINyahoo.de>][Date Fri, 2 Nov 2007 20:59:40 +0000 (GMT)]/UNNAMED/[From YSO-8859-15?Q?h_b? <h.beAT DOMAINextern.lrz-muenchen.de>][Date Fri, 02 Nov 2007 22:06:43 +0100]/text/[From - Sun Nov 04 09:50:29 2007][Date Sat, 3 Nov 2007 11:39:22 +0100]/UNNAMED/[From "Jurgen Van vg" <jv279AT DOMAINcam.ac.uk>][Date Sat, 3 Nov 2007 20:46:27 -0000]/text Infected: Trojan-Spy.Win32.KeyLogger.rp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From v h <v.hAT DOMAINyahoo.de>][Date Fri, 2 Nov 2007 20:59:40 +0000 (GMT)]/UNNAMED/[From YSO-8859-15?Q?h_b? <h.beAT DOMAINextern.lrz-muenchen.de>][Date Fri, 02 Nov 2007 22:06:43 +0100]/text/[From - Sun Nov 04 09:50:29 2007][Date Sat, 3 Nov 2007 11:39:22 +0100]/UNNAMED Infected: Trojan-Spy.Win32.KeyLogger.rp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From v h <v.hAT DOMAINyahoo.de>][Date Fri, 2 Nov 2007 20:59:40 +0000 (GMT)]/UNNAMED/[From YSO-8859-15?Q?h_b? <h.beAT DOMAINextern.lrz-muenchen.de>][Date Fri, 02 Nov 2007 22:06:43 +0100]/text Infected: Trojan-Spy.Win32.KeyLogger.rp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From v h <v.hAT DOMAINyahoo.de>][Date Fri, 2 Nov 2007 20:59:40 +0000 (GMT)]/UNNAMED Infected: Trojan-Spy.Win32.KeyLogger.rp skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "m st" <m.stAT DOMAINrz.ifi.lmu.de>][Date Sun, 11 Nov 2007 22:30:03 +0100 (CET)]/text/[From Diamond Bank Plc <mailAT DOMAINweb2net.it>][Date Sun, 11 Nov 2007 16:55:40 -0600]/text/[From noreplyAT DOMAINtalks.cam.ac.uk][Date Mon, 12 Nov 2007 01:01:10 +0000]/UNNAMED/[From "Ter ... /[From "Gottfried v " <vAT DOMAINuni-muenster.de>][Date Mon, 12 Nov 2007 02: ... /flash-game.exe Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "m st" <m.stAT DOMAINrz.ifi.lmu.de>][Date Sun, 11 Nov 2007 22:30:03 +0100 (CET)]/text/[From Diamond Bank Plc <mailAT DOMAINweb2net.it>][Date Sun, 11 Nov 2007 16:55:40 -0600]/text/[From noreplyAT DOMAINtalks.cam.ac.uk][Date Mon, 12 Nov 2007 01:01:10 +0000]/UNNAMED/[From "Ter ... /[From "Gottfried v " <vAT DOMAINuni-muenster.de>][Date Mon, 12 Nov 2007 02:00:02 -0600]/UNNAMED Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "m st" <m.stAT DOMAINrz.ifi.lmu.de>][Date Sun, 11 Nov 2007 22:30:03 +0100 (CET)]/text/[From Diamond Bank Plc <mailAT DOMAINweb2net.it>][Date Sun, 11 Nov 2007 16:55:40 -0600]/text/[From noreplyAT DOMAINtalks.cam.ac.uk][Date Mon, 12 Nov 2007 01:01:10 +0000]/UNNAMED/[From "Teresa Kendr ... /[From "GMX Spamschutz" <mailingsAT DOMAINgmx.net>][Date Mon, 12 Nov 2007 08:59:34 +0100]/UNNAMED Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "m st" <m.stAT DOMAINrz.ifi.lmu.de>][Date Sun, 11 Nov 2007 22:30:03 +0100 (CET)]/text/[From Diamond Bank Plc <mailAT DOMAINweb2net.it>][Date Sun, 11 Nov 2007 16:55:40 -0600]/text/[From noreplyAT DOMAINtalks.cam.ac.uk][Date Mon, 12 Nov 2007 01:01:10 +0000]/UNNAMED/[From "Teresa Kendrick" <telslegerAT DOMAINqualityconst.com>][Date Mon, 12 Nov 2007 09:01:15 +0200]/UNNAMED Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "m st" <m.stAT DOMAINrz.ifi.lmu.de>][Date Sun, 11 Nov 2007 22:30:03 +0100 (CET)]/text/[From Diamond Bank Plc <mailAT DOMAINweb2net.it>][Date Sun, 11 Nov 2007 16:55:40 -0600]/text/[From noreplyAT DOMAINtalks.cam.ac.uk][Date Mon, 12 Nov 2007 01:01:10 +0000]/UNNAMED Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "m st" <m.stAT DOMAINrz.ifi.lmu.de>][Date Sun, 11 Nov 2007 22:30:03 +0100 (CET)]/text/[From Diamond Bank Plc <mailAT DOMAINweb2net.it>][Date Sun, 11 Nov 2007 16:55:40 -0600]/text Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text/[From "m st" <m.stAT DOMAINrz.ifi.lmu.de>][Date Sun, 11 Nov 2007 22:30:03 +0100 (CET)]/text Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox/[From "g a" <g.aAT DOMAINais.fraunhofer.de>][Date Mon, 12 Feb 2007 05:19:11 -0600]/text Infected: Trojan-Downloader.Win32.Agent.ezm skipped
C:\Dokumente und Einstellungen\b\Anwendungsdaten\Thunderbird\Profiles\9xes8d01.default\Mail\Local Folders\Inbox Mail Berkeley mbox: infected - 47 skipped
C:\Dokumente und Einstellungen\b\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\Desktop\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\Dokumente und Einstellungen\b\Desktop\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\Dokumente und Einstellungen\b\Desktop\SmitfraudFix.exe/data.rar Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\Dokumente und Einstellungen\b\Desktop\SmitfraudFix.exe RarSFX: infected - 2 skipped
C:\Dokumente und Einstellungen\b\Eigene Dateien\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\Cache\_CACHE_001_ Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\Cache\_CACHE_002_ Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\Cache\_CACHE_003_ Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007111420071115\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\b\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\b\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\FMTR.sys.vir Infected: not-a-virus:FraudTool.Win32.BestSeller.a skipped
C:\qoobox\Quarantine\C\WINDOWS\system32\frcougyj.dll.vir Infected: Trojan-Downloader.Win32.ConHook.hl skipped
C:\qoobox\Quarantine\C\WINDOWS\system32\nvmqaoej.exe.vir Infected: Trojan.Win32.Obfuscated.kp skipped
C:\qoobox\Quarantine\catchme2007-11-13_210151.00.zip/__c003169C.dat Infected: Trojan-Downloader.Win32.ConHook.hl skipped
C:\qoobox\Quarantine\catchme2007-11-13_210151.00.zip ZIP: infected - 1 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP2\A0000090.sys Infected: not-a-virus:FraudTool.Win32.BestSeller.a skipped
C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP4\A0000443.exe Infected: Trojan.Win32.Obfuscated.kp skipped
C:\System Volume Information\_restore{B89A9645-F650-437E-A3EB-21D9FE6F34C1}\RP5\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{BB738E70-F070-4921-8258-5DAE32DA2DD0}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.
bomika
Active Member
 
Posts: 6
Joined: November 10th, 2007, 6:19 pm

Re: IE ad popups altough using firefox

Unread postby Simon V. » November 16th, 2007, 2:17 am

Hi :)

That's looking quite good!

Step 1

Please download and install AVG Anti-Spyware.

After the installation, open AVG Anti-Spyware and do the following:

  • Under Status, click on Change state, next to Resident shield (this will change from Active to Inactive)
  • Under the Update tab, click on Start update.
  • Under Scanner, click on the Settings tab:

    • Under How to act?, click on Recommended actions, and select Quarantine.
    • Under Reports, select Do not automatically generate reports.

Close AVG Anti-Spyware. Do not let it scan yet.

Note: If you have problems getting the update, you can download an installer for the full database here. Once you have downloaded the installer, make sure that AVG Anti-Spyware is closed, then double-click on avgas-signatures-full-current.exe to install the database.

Step 2

Print these instructions or copy them to Notepad and save it to your desktop, as you won't be able to access internet in Safe Mode.

Please reboot into Safe Mode. To do this, go to Start > Turn off Computer, and select Restart. Rapidly tap F8 just before Windows starts to load. In the menu that appears, select Safe Mode (Without Networking).

Step 3

Please open AVG Anti-Spyware.

  • Click on the Scan tab.
  • Click on Complete System Scan to start the scan process.
  • After the scan, do the following:

      Important: Don't click on the Save Scan Report button before you hit the Apply all Actions button.

    • Make sure that Set all elements to: shows Quarantine (1). If not, click on the link and select Quarantine from the popup menu (2).
    • At the bottom of the window click on the Apply all Actions button (3).
    • When done, click the Save Report (4) button, and save the file to your desktop.

Image

Reboot into Normal Mode.

Step 4

Your Java software is out of date. Follow these instructions to update it:

  • Go to Start and click on Control Panel, then double-click on Add or Remove Programs.
  • Search for previously installed versions of Java (J2SE Runtime Environment), and remove it. It should have this icon next to it: Image
  • Then download and install Java Runtime Environment (JRE) 6 Update 3.

Step 5

Click Start then Run....

  • Type Combofix /u in the runbox and click OK. (Note: The space between the x and the /u needs to be there)

    Image
  • When shown the disclaimer, select 2.

Step 6

In your next reply, please post:

  • the AVG Anti-Spyware rapport
  • a new HijackThis log
  • How is your computer running now?
User avatar
Simon V.
MRU Emeritus
MRU Emeritus
 
Posts: 3388
Joined: November 11th, 2006, 3:35 pm
Location: Antwerp, Belgium

Re: IE ad popups although using firefox

Unread postby bomika » November 17th, 2007, 11:00 am

Hi Simon,
> * How is your computer running now?
no more pop-ups for two days now :-)
Thanks a lot,
Bomika

====== * the AVG Anti-Spyware rapport ==================
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 14:34:43 17.11.2007

+ Scan-Ergebnis:



C:\qoobox\Quarantine\C\WINDOWS\system32\frcougyj.dll.vir -> Downloader.ConHook.hl : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\qoobox\Quarantine\catchme2007-11-13_210151.00.zip/__c003169C.dat -> Downloader.ConHook.hl : Mit Backup gesäubert (unter Quarantäne gestellt).
:mozilla.288:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.247realmedia : Gesäubert.
:mozilla.118:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.193:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.324:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.358:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.52:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.54:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.55:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.56:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.57:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.149:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.151:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.152:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.153:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.154:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.155:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.317:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.318:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.77:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Addcontrol : Gesäubert.
:mozilla.136:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adengage : Gesäubert.
:mozilla.137:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adengage : Gesäubert.
:mozilla.138:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adengage : Gesäubert.
:mozilla.127:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adrevolver : Gesäubert.
:mozilla.128:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adrevolver : Gesäubert.
:mozilla.148:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.149:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.36:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.12:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.13:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.14:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.363:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.364:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.365:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.100:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adviva : Gesäubert.
:mozilla.101:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Adviva : Gesäubert.
:mozilla.10:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert.
:mozilla.89:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert.
:mozilla.246:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Bfast : Gesäubert.
:mozilla.180:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Bluestreak : Gesäubert.
:mozilla.287:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert.
:mozilla.204:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Clickhype : Gesäubert.
:mozilla.139:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Clickzs : Gesäubert.
:mozilla.140:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Clickzs : Gesäubert.
:mozilla.141:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Clickzs : Gesäubert.
:mozilla.142:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Clickzs : Gesäubert.
:mozilla.241:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Co : Gesäubert.
:mozilla.129:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Connextra : Gesäubert.
:mozilla.130:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Connextra : Gesäubert.
:mozilla.131:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Connextra : Gesäubert.
:mozilla.132:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Connextra : Gesäubert.
:mozilla.247:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Connextra : Gesäubert.
:mozilla.144:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Coremetrics : Gesäubert.
:mozilla.156:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Cqcounter : Gesäubert.
:mozilla.10:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert.
:mozilla.8:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert.
:mozilla.108:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Etracker : Gesäubert.
:mozilla.109:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Etracker : Gesäubert.
:mozilla.110:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Etracker : Gesäubert.
:mozilla.29:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Etracker : Gesäubert.
:mozilla.24:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.25:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.26:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.27:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.28:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.29:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.30:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.31:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.32:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.33:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.34:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.259:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.260:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.261:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.262:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.263:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.264:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.323:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert.
:mozilla.115:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert.
:mozilla.136:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert.
:mozilla.156:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert.
:mozilla.124:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.125:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.126:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.280:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.281:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.172:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Imrworldwide : Gesäubert.
:mozilla.173:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Imrworldwide : Gesäubert.
:mozilla.325:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Imrworldwide : Gesäubert.
:mozilla.305:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Intelli-direct : Gesäubert.
:mozilla.11:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.9:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.102:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.103:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.21:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.22:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.23:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.338:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Liveperson : Gesäubert.
:mozilla.339:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Liveperson : Gesäubert.
:mozilla.282:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Masterstats : Gesäubert.
:mozilla.35:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert.
:mozilla.45:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert.
:mozilla.272:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Netflame : Gesäubert.
:mozilla.273:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Netflame : Gesäubert.
:mozilla.274:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Netflame : Gesäubert.
:mozilla.112:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Oewabox : Gesäubert.
:mozilla.133:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Planetactive : Gesäubert.
:mozilla.270:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Pointroll : Gesäubert.
:mozilla.271:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Pointroll : Gesäubert.
:mozilla.272:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Pointroll : Gesäubert.
:mozilla.273:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Pointroll : Gesäubert.
:mozilla.145:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Questionmarket : Gesäubert.
:mozilla.146:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Questionmarket : Gesäubert.
:mozilla.120:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Revsci : Gesäubert.
:mozilla.121:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Revsci : Gesäubert.
:mozilla.122:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Revsci : Gesäubert.
:mozilla.123:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Revsci : Gesäubert.
:mozilla.238:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Revsci : Gesäubert.
:mozilla.239:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Revsci : Gesäubert.
:mozilla.240:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Revsci : Gesäubert.
:mozilla.176:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.177:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.178:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.179:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.60:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.61:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.62:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.63:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.64:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.65:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.114:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.181:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.182:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.200:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.201:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.211:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.212:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.69:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.70:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.89:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert.
:mozilla.90:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert.
:mozilla.91:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert.
:mozilla.208:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tacoda : Gesäubert.
:mozilla.209:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tacoda : Gesäubert.
:mozilla.53:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.62:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.63:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.64:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.65:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.66:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.90:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.225:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.226:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.93:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.94:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.95:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.286:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Tribalfusion : Gesäubert.
:mozilla.251:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Valueclick : Gesäubert.
:mozilla.252:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Valueclick : Gesäubert.
:mozilla.171:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Webtrendslive : Gesäubert.
:mozilla.234:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Webtrendslive : Gesäubert.
:mozilla.189:C:\Dokumente und Einstellungen\h\Anwendungsdaten\Mozilla\Firefox\Profiles\fzqlgcw3.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.219:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.220:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.221:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.222:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.223:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.227:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert.
:mozilla.228:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert.
:mozilla.229:C:\Dokumente und Einstellungen\b\Anwendungsdaten\Mozilla\Firefox\Profiles\zqeu4ngp.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert.


::Berichtende



====================================================
====== * a new HijackThis log ==========================
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WLAN\WLAN\wlanutil.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=172.20.1.1:8080;https=172.20.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = caesar: 172.20.1.2
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programme\WLAN\WLAN\wlanutil.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9254598359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5010 bytes


====================================================
bomika
Active Member
 
Posts: 6
Joined: November 10th, 2007, 6:19 pm

Re: IE ad popups altough using firefox

Unread postby Simon V. » November 17th, 2007, 11:29 am

Hi :)

Open HijackThis, perform a scan and put a check next to the following items (if present):

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

If you or your System Administrator didn't set restrictions to IE, or you aren't using that function in Spybot Search and Destroy, also put a check next to this line:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Close all programs except HijackThis and click on Fix checked.

Congratulations, your log looks clean. Please advise of any problems you are still experiencing, or follow these simple steps to keep your computer clean in the future:

Disable and Enable System Restore - If you are using Windows ME or XP then you should disable and re-enable system restore to make sure there are no infected files found in a restore point.

Step 1: Turn off System Restore:

  • On the desktop, right-click My Computer
  • Click Properties
  • Click the System Restore tab
  • Check Turn off System Restore
  • Click Apply, and then click OK

Step 2: Reboot your computer.

Step 3: Turn on System Restore:

  • On the desktop, right-click My Computer
  • Click Properties
  • Click the System Restore tab
  • Uncheck Turn off System Restore
  • Click Apply, and then click OK

Note: Only do this once, NOT on a regular basis!

Make your Internet Explorer More Secure

  • From within Internet Explorer click on the Tools menu and then click on Options.
  • Click once on the Security tab.
  • Click once on the Internet icon so it becomes highlighted.
  • Click once on the Custom Level button.

    • Change the Download signed ActiveX controls to Prompt.
    • Change the Download unsigned ActiveX controls to Disable.
    • Change the Initialise and script ActiveX controls not marked as safe to Disable.
    • Change the Installation of desktop items to Prompt.
    • Change the Launching programs and files in an IFRAME to Prompt.
    • Change the Navigate sub-frames across different domains to Prompt.
    • When all these settings have been made, click on the OK button.
    • If it prompts you as to whether or not you want to save the settings, press the Yes button.

  • Next press the Apply button and then the OK to exit the Internet Properties page.

Update your Anti-Virus Software - It is very imprtant that you update your anti-virus software at least once a week (even more if you wish). If you do not update your anti-virus software then it will not be able to catch any of the new variants that will come out.

Use a Firewall - Without a firewall your computer is susceptible to being hacked and taken over. The Windows firewall isn't sufficient as it only monitors incoming connections.

Here are a few (free) firewalls, please download and install one of them:


Visit Microsoft's Update Site Frequently - It is important that you visit http://update.microsoft.com/ regularly. This will ensure your computer has always the latest security updates available installed on your computer. If there are new updates to install, install them immediately, reboot your computer, and revisit the site until there are no more critical updates.

Install Spybot - Search and Destroy - Download and install Spybot - Search and Destroy with its TeaTimer option. This will provide real time spyware and hijacker protection on your computer alongside your virus protection. You should scan your computer with the program on a regular basis just as you would with your anti-virus software. A tutorial on installing and using this product can be found here:
Instructions for - Spybot S & D and Ad-aware

Install SpywareBlaster - SpywareBlaster will add a large list of programs and sites into your Internet Explorer settings that will protect you from running and downloading known malicious programs. An article on anti-malware products with links for this program and others can be found here:
Computer Safety on line - Anti-Malware

Update all these programs regularly - Make sure you update all the programs I have listed regularly. Without regular updates you WILL NOT be protected when new malicious programs are released.

Follow this list and your potential for being infected again will reduce dramatically.

Stand Up and Be Counted! - Please take the time to tell us what you would like to be done about the people who are behind all the problems you have had. We can only get something done about this if the people that we help, like you, are prepared to complain. We have a dedicated forum for collecting these complaints: Malware Complaints. You have to be registered to post. After registering just find your country room and register your complaint. The infection you had was <insert infection here>

>> Here << you can see how you can help us.
User avatar
Simon V.
MRU Emeritus
MRU Emeritus
 
Posts: 3388
Joined: November 11th, 2006, 3:35 pm
Location: Antwerp, Belgium

Re: IE ad popups altough using firefox

Unread postby Gary R » November 21st, 2007, 5:55 am

This topic is now closed.

If you are the originator of this topic, and you need it re-opened please send an email to 'admin at malwareremoval.com', including a link to this topic.

If you have been helped and wish to donate to help with the costs of this volunteer site, please read Donations For Malware Removal

Please do not contact us if you are not the topic starter. A valid, working link to the closed topic is required along with the user name used. If the user name does not match the one in the thread linked, the email will be deleted.

Gary R
User avatar
Gary R
Administrator
Administrator
 
Posts: 25888
Joined: June 28th, 2005, 11:36 am
Location: Yorkshire
Advertisement
Register to Remove


  • Similar Topics
    Replies
    Views
    Last post

Return to Infected? Virus, malware, adware, ransomware, oh my!



Who is online

Users browsing this forum: No registered users and 297 guests

Contact us:

Advertisements do not imply our endorsement of that product or service. Register to remove all ads. The forum is run by volunteers who donate their time and expertise. We make every attempt to ensure that the help and advice posted is accurate and will not cause harm to your computer. However, we do not guarantee that they are accurate and they are to be used at your own risk. All trademarks are the property of their respective owners.

Member site: UNITE Against Malware