Power Scan, etc. - Wie loswerden |
||
---|---|---|
#0
| ||
21.06.2004, 15:06
Member
Beiträge: 16 |
||
|
||
21.06.2004, 16:08
Ehrenmitglied
Beiträge: 29434 |
#2
Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren
Fixe mit dem HijackThis R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/ (Hijack??) R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll (Problem!!!) O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\Programme\scbar\v2\scbar.dll (file missing) (ebenso Prob) O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll (kenn ich nicht, haber aber auch bs(x)3.dll) O2 - BHO: (no name) - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun (????) O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun (????) O16 - DPF: {A7798D6C-C6B5-4F26-9363-F7CDBBFFA607} (download Class) - http://www.gigex.com/ActiveX/vxpspeeddelivery.dll (??Muh??) neustarten gehe in den abgesicherten Modus Gehe in die Registry und loesche auf der rechten Seite Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bs3.dll,DllRun bsx5.dll,DllRun schliesse die Registry Loesche #C:\Programme\TV Media\TvmBho.dll #C:\Programme\scbar\v2\scbar.dll #C:\WINDOWS\bsx5.dll #C:\WINDOWS\bs3.dll normal neustarten Loesche mit ClearProg...schreib dir vorher die wichtigsten Adressen auf http://www.clearprog.de/ Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs Lade mwav.exe und scanne ...ist 30 Tage free http://www.mwti.net/antivirus/free_utilities.asp poste dann, was der Scanner noch gefunden hat. Lade Spyhunter http://www.spy-bot.net/manual.asp Dann loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein und poste das Log noch einmal. TIP... Lade den Firefox als Browser...ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.06.2004 um 16:21 Uhr von Sabina editiert.
|
|
|
||
21.06.2004, 16:32
Member
Themenstarter Beiträge: 16 |
#3
Hallo Sabrina,
habe schon mal weiter gemacht, und den Spybot drüber laufen lassen. Außerdem ließ sich der TV Media Ordner nach dem löschen aus dem Autostart im abgesicherten Modus ohne Probs löschen. Spybot fand nochmal etwa 6 verschiedene Gruppen, welche alle weg gingen (wenn auch nach dem Systemneustart) LogFile sieht jetzt so aus: Logfile of HijackThis v1.97.7 Scan saved at 16:21:59, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\IMONC\Imonc.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\dsp\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/ R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKCU\..\Run: [fli4l] "C:\Programme\IMONC\Imonc.exe" /s:192.168.0.1 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Verknüpfung mit Imonc.lnk = C:\Programme\IMONC\Imonc.exe O9 - Extra button: Preispiraten (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37960.6447685185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{93856FD8-B1A6-4D8E-B141-83C2AC34E915}: NameServer = 192.168.0.1 Zu Deinem Thread hier noch ein paar Fragen: - R0/R1, starseite war soweit korrekt, aber das aus R0 ist mir unklar. (Soll ich das "fixen" - Browser Opera ist eh schon Standard, aber letzte Woche musste ich updaten und das geht ja (bei EA.Sports) nur über IE, - Der Mwav Scanner verträgt der sich mit meinem Antivir?? Oder muss ich das nur für die Zeit deaktivieren - Die Favoriten (sooo viele schmutzige Seiten) habe ich bereits manuell gelöscht, brauche ich da noch Clearprog?? Vielen Dank, spitzen Forum hier! //Edit::// Kleines Update: Habe mir den Spy Bot Scanner noch geladen und der findet schon wieder Warez ohne Ende! Im Moment knapp 14 Reg Einträge. Langsam bekomme ich das Gefühl, dass jeder Scanner den ich nutze was neues findet, hört das den nie auf *heulstöhn*? ...Leider hilft mir der Spyhunter gerade nichts, weil der gekauft werden möchte! Ist es schlimm, wenn die Wiederherstellung nicht deaktiviert war? Dieser Beitrag wurde am 21.06.2004 um 17:05 Uhr von falk editiert.
|
|
|
||
21.06.2004, 19:18
Ehrenmitglied
Beiträge: 29434 |
#4
1. komisch ..ich habe den SpyHunter einfach runtergeladen.
2.die mwav.exe ...30 Tage free vertraegt sich mit anderen Virenscannern, sonst haette ich dich darauf hingewiesen . das brauchst du natuerlich nicht zu fixen R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/ mFg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 10:34 Uhr von Sabina editiert.
|
|
|
||
22.06.2004, 18:36
Member
Themenstarter Beiträge: 16 |
#5
Hallo Sabrina, Danke für die vielen Tipps,
hier mal ein paar weitere Log File: Logfile of HijackThis v1.97.7 Scan saved at 18:28:38, on 22.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\IMONC\Imonc.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera7\opera.exe C:\Dokumente und Einstellungen\dsp\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/ R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [fli4l] "C:\Programme\IMONC\Imonc.exe" /s:192.168.0.1 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Verknüpfung mit Imonc.lnk = C:\Programme\IMONC\Imonc.exe O9 - Extra button: Preispiraten (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37960.6447685185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{93856FD8-B1A6-4D8E-B141-83C2AC34E915}: NameServer = 192.168.0.1 AntiVir: C:\Dokumente und Einstellungen\dsp\Desktop\flash\Players Flash 5 Player Installer.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\dsp\Desktop\flash\Players\Debug Flash 5 Player Installer.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\dsp\Desktop\flash\Players\Release Flash 5 Player Installer.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\dsp\Desktop\videos M?nner.pps Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads VIA_Hyperion 4IN1_V449vp2.zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Programme\Microsoft Games\Train Simulator\ROUTES\EUROPE2\TerrTex\Snow OEHalfGrass-MountL.ace ArchiveType: TAR (tape archiver) --> SIMISA@@@@@@@@@@ HINWEIS! Der Archivheader ist defekt C:\Programme\Pinnacle\Studio 9 hfbm0107.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: 22.06.2004 15:04 Benötigte Zeit: 31:12 min 3591 Verzeichnisse wurden durchsucht 43920 Dateien wurden geprüft 7 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden XSoft Spy 3.2.08: Starting Scanning (Smart Scan Mode) Scanning running processes. 1) : C:\Programme\XoftSpy\XoftSpy.exe 2) : System 3) : smss.exe 4) : csrss.exe 5) : winlogon.exe 6) : services.exe 7) : lsass.exe 8) : svchost.exe 9) : svchost.exe 10) : svchost.exe 11) : svchost.exe 12) : C:\WINDOWS\Explorer.EXE 13) : spoolsv.exe 14) : AVGUARD.EXE 15) : AVWUPSRV.EXE 21) : nvsvc32.exe 22) : svchost.exe 24) : C:\WINDOWS\SOUNDMAN.EXE 25) : C:\Programme\AVPersonal\AVGNT.EXE 26) : C:\Programme\Motherboard Monitor 5\MBM5.EXE 27) : C:\Programme\IMONC\Imonc.exe 28) : C:\Programme\Spybot - Search & Destroy\TeaTimer.exe 29) : C:\Programme\Opera7\opera.exe 30) : C:\Programme\XoftSpy\XoftSpy.exe 1) BookedSpace Name: BookedSpace.Extension.5 Type: Registry Key 2) BookedSpace Name: Software\BookedSpace Type: Registry Key 3) ClipGenie Name: Software\ClipGenie Type: Registry Key 4) ClipGenie Name: Software\TrayNotifier\ClipGenie Type: Registry Key 5) ClipGenie Name: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ClipGenie Type: Registry Key 6) ClipGenie Name: SOFTWARE\TrayNotifier\ClipGenie Type: Registry Key 7) CoolWebSearch Name: software\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com Type: Registry Key 8) MainPean Dialer Name: Software\Freeware Type: Registry Key 9) NCase Name: SOFTWARE\180solutions Type: Registry Key 10) NCase Name: SOFTWARE\180solutions\msbb Type: Registry Key 11) Winpup32 Name: Interface\{48E59291-9880-11CF-9754-00AA00C00908} Type: Registry Key 12) Winpup32 Name: Interface\{48E59292-9880-11CF-9754-00AA00C00908} Type: Registry Key 13) CWS.Oslogo Name: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com Type: Registry Key 14) Bat/Mumu-A Name: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwiz Type: Registry Value Scan Finished Noch Ideen? An den Mwaw File komme ich leider nicht ran, der zeigt komischerweise nur an was er durchsucht hat. Da war nämlich noch was an Dateien. Gruß und größten Dank, Falk |
|
|
||
23.06.2004, 10:43
Ehrenmitglied
Beiträge: 29434 |
#6
@falk
Da war doch mehr, als ich dachte... Gehe in die Registry und loesche, falls es da ist Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\ settings\zonemap\domains\xxxtoolbar.com Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com ................................................................................................... #NCase http://www.pestpatrol.com/PestInfo/n/ncase.asp #BatMumu http://securityresponse.symantec.com/avcenter/venc/data/bat.mumu.a.worm.removal.tool.html #MainPean Dialer Name: Software\Freeware deinstallieren http://sarc.com/avcenter/venc/data/adware.bookedspace.html #BookedSpace Name: Software\BookedSpace ......................................................................................................... Mwaw \alle Dateien scannen \einstellen, ...das Tool loescht Trojaner und Viren und die Spyware zeigt es an. Kannst du mir posten, von wo du den XSoft Spy 3.2.08: hast????????/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 10:50 Uhr von Sabina editiert.
|
|
|
||
23.06.2004, 15:18
Member
Themenstarter Beiträge: 16 |
#7
Hallo Sabrina,
werde später mal Deine Tipps durchführen. Ein paar Infos über die Datein habe ich mir gestern Abend schon über McAfee gezogen, aber trotzdem danke. Den neuen XSoft Spy habe ich mir über die HP http://www.spy-bot.net/ geladen, scannt, logt, löscht aber leider nicht, wie schon im oberen Post beschrieben. Danke, Gruß Falk //Edit:// HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com ab CurrentVersion nichts mehr, nur noch Run, RunOnce, RunOneEx Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwwwsearch.com ebenso nicht da! HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runsoftware\ settings\zonemap\domains\xxxtoolbar.com nicht da Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\[....] Adressen ohne Ende, die alle eindeutige Ziele haben! Soll ich die alle Killen? des weiteren ist mir aufgefallen, dass ich unter HKEY_LOKAL_MACHINE\SOFTWARE\ ich noch Einträge wie 180 Solutions, Booked Space, ClipGenie habe. Sollten die nicht weg sein? GRuß Falk Dieser Beitrag wurde am 23.06.2004 um 15:49 Uhr von falk editiert.
|
|
|
||
23.06.2004, 16:24
Ehrenmitglied
Beiträge: 29434 |
#8
des weiteren ist mir aufgefallen, dass ich unter HKEY_LOKAL_MACHINE\SOFTWARE\ ich noch Einträge wie 180 Solutions, Booked Space, ClipGenie habe. Sollten die nicht weg sein?
.............das muss alles weg, wie du aus den Links ersehen kannst. 1.NCase HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msbb.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\aknqux HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ghrxblvci HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ivdn HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rjw HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rym, HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\zxlextmik If you find the value HKEY_USERS\s-1-5-21-725345543-1078145449-1343024091-500\software\microsoft\windows\currentversion\run\msbb, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msbb"="[path]\msbb.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb * HKEY_CURRENT_USER\Software\180solutions 6. Exit the Registry Editor. 7. Restart the computer. loeschen delmsbb.exe elrubiovy.exe gm.exe ncaseadsuninstaller.exe ncaseuninstaller.exe optimize.exe msbb.exe ........................................................................................................................ Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\[....] Adressen ohne Ende, die alle eindeutige Ziele haben! Soll ich die alle Killen? ........kille nur, was auf die Malware hindeutet. ...................................................................................................................... http://securityresponse.symantec.com/avcenter/venc/data/bat.mumu.a.worm.removal.tool.html Lade hier das Removal\Tool fuer den Bat.Mumu.A.Worm ...................................................................................................................... Adware.Bookedspace Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<name of .dll file>"="Adware.Bookedspace" # Delete the subkeys: * HKEY_CLASSES_ROOT\AppID\{0DC5CD7C-F653-4417-AA43-D457BE3A9622} * HKEY_CLASSES_ROOT\AppID\BookedSpace.DLL * HKEY_CLASSES_ROOT\BookedSpace.Extension.5 * HKEY_CLASSES_ROOT\BookedSpace.Extension * HKEY_CLASSES_ROOT\CLSID\{0019C3E2-DD48-4A6D-ABCD-8D32436323D9} * HKEY_CLASSES_ROOT\TypeLib\{0DC5CD7C-F653-4417-AA43-D457BE3A9622} * HKEY_CLASSES_ROOT\Interface\{05080E6B-A88A-4CFD-8C3D-982557670B6E} schliesse die Registry Loesche .....name of .dll file>"="RunDLL32.exe <path to .dll file>, DllRun 1. Click Start, and then click Run. (The Run dialog box appears.) 2. Type, or copy and paste, the following text: regsvr32 /u "<path to .dll file>" where <path to .dll file> is the path and file name written in step 2d. An example would look like this: regsvr32 /u "c:\windows\system32\oo4.dll" 3. Click OK. 4. If a dialog box confirming this action appears, click OK. 5. Run another scan, deleting any files detected as Adware.Bookedspace. ..................................................................................................................... ClipGenie HKEY_CURRENT_USER\software\clipgenie HKEY_CURRENT_USER\software\traynotifier\clipgenie HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\clipgenie HKEY_LOCAL_MACHINE\software\traynotifier\clipgenie loeschen bikpreview.wmv casinopreview.wmv celebpreview.wmv extpreview.wmv profilepath+\start menu\programs\clipgenie.lnk http://www.kephyr.com/spywarescanner/library/clipgenie/index.phtml http://www.pestpatrol.com/PestInfo/c/clipgenie.asp ..................................................................................................................... am Besten, du scannst mit der mwav.exe...30 Tage free das Tool ist gut...scanne im abgesicherten Modus und loesche manuell, was nur angezeigt und nicht geloescht wird. http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina http://sarc.com/avcenter/venc/data/adware.ncase.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 16:39 Uhr von Sabina editiert.
|
|
|
||
24.06.2004, 12:29
Member
Themenstarter Beiträge: 16 |
#9
Hallo, da bin ich wieder und bearbeite meine REG.
des weiteren ist mir aufgefallen, dass ich unter HKEY_LOKAL_MACHINE\SOFTWARE\ ich noch Einträge wie 180 Solutions, Booked Space, ClipGenie habe. Sollten die nicht weg sein? .............das muss alles weg, wie du aus den Links ersehen kannst. weg, soweit ich es als Spy erkennen konnte HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msbb.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\aknqux HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ghrxblvci HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\ivdn HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rjw HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\rym, HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\zxlextmik If you find the value HKEY_USERS\s-1-5-21-725345543-1078145449-1343024091-500\software\microsoft\windows\currentversion\run\msbb, nicht vorhanden delmsbb.exe elrubiovy.exe gm.exe ncaseadsuninstaller.exe ncaseuninstaller.exe optimize.exe nicht vorhanden, von der msbb.exe waren 2 Dateien in "Windows/Prefetch", die habe ich gelöscht ---------------------- Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\[....] Hilfe mir ist schwindelig und mein Finger schmerzt. Habe ungefährt alle dreckigen Sites der Welt da drin gehabt. Habe alles gelöscht, weil mir nicht unverdächtig erschien! Des weiteren ist mir aufgefallen, dass ich unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ einen Schlüssel namens P3P habe, in dessen History Folder sich ebenfalls verdächtige Dateien befinden (u.a. 180 Solutions, Casinoblaster, Sexlist, aber auch enigmasoftwaregroup.com, die den Spyhunter herstellt?? ) --------- HKEY_CURRENT_USER\software\clipgenie HKEY_CURRENT_USER\software\traynotifier\clipgenie HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\clipgenie HKEY_LOCAL_MACHINE\software\traynotifier\clipgenie soweit vorhanden, gelöscht bikpreview.wmv casinopreview.wmv celebpreview.wmv extpreview.wmv profilepath+\start menu\programs\clipgenie.lnk (vermute das Startmenü -> Programme gemeint ist, da ist nicht) nicht vorhanden Den Patch für Bat lasse ich jetzt gleich laufen, die Sache mit BookedSpace versteh ich noch nicht ganz, fragen mache ich gleich als Edit! |
|
|
||
24.06.2004, 12:36
Ehrenmitglied
Beiträge: 29434 |
#10
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ einen Schlüssel namens P3P habe, in dessen History Folder sich ebenfalls verdächtige Dateien befinden (u.a. 180 Solutions, Casinoblaster, Sexlist, aber auch enigmasoftwaregroup.com, die den Spyhunter herstellt?? )
Loesche alles....unter InternetOptionen kannst du die History loeschen. Tipp Lade Winswep...einfach auf die Grafik klicken. dann wende das Tool an, aber nur die Funktion \Surfspuren vernichten\ Nach der Anwendung nimmst du das Tool aus dem Autostart bis zur naechsten Anwendung http://www.winsweep.de/down.htm Es sei denn, du kaufst WinSweep. dann kannst du alles anwenden.... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.06.2004 um 12:48 Uhr von Sabina editiert.
|
|
|
||
24.06.2004, 23:01
Member
Themenstarter Beiträge: 16 |
#11
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ einen Schlüssel namens P3P habe, in dessen History Folder sich ebenfalls verdächtige Dateien befinden (u.a. 180 Solutions, Casinoblaster, Sexlist, aber auch enigmasoftwaregroup.com, die den Spyhunter herstellt?? )
waren nach dem Cleanen in den Internetoptionen immer noch da, also manuell gelöscht. Den Ordner P3P habe ich aber gelassen muss der weg? -------- * HKEY_CLASSES_ROOT\BookedSpace.Extension.5 ------ gelöscht, der rest war nicht vorhanden was die .dll Sache angeht, so weis ich nicht genau, wonach ich genau suchen soll?? -------- Den Bat/Mumu Scanner habe ich laufen lassen, der teilte mir mit, System wäre sauber, merkwürdig. lasse jetzt nochmal eine Suche mit dem mwav machen und poste das log Gruß Falk Dieser Beitrag wurde am 24.06.2004 um 23:07 Uhr von falk editiert.
|
|
|
||
25.06.2004, 09:29
Ehrenmitglied
Beiträge: 29434 |
#12
Den Ordner P3P habe ich aber gelassen muss der weg?
muss nicht weg...aber besser ist, mit dem Kazaa Lite zu arbeiten..... ist spywarefrei und du kannst ihn unter Chip.de laden. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.06.2004, 10:25
Member
Themenstarter Beiträge: 16 |
#13
Den Ordner P3P habe ich aber gelassen muss der weg?
muss nicht weg...aber besser ist, mit dem Kazaa Lite zu arbeiten..... ist spywarefrei und du kannst ihn unter Chip.de laden. MfG Sabina Ich habe gar keine Art von p2p! Weder Kazaa, noch sonst was in der Richtung. Mein neuer Mwav läuft noch, habe aber mal ein paar Details aus dem alten vom Di zusammengestellt: Tue Jun 22 15:57:56 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\dvdrnb30.exe tagged as not-a-virus:AdvWare.NavExcel. No Action Taken. Tue Jun 22 15:59:26 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\premier\Premiere_6.0 Tryout Win\Cleaner\cleaner.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Jun 22 15:59:43 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\setupcdripper.exe tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken. Tue Jun 22 15:59:44 2004 => File C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\setup_postpaket_2_3.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Jun 22 16:01:35 2004 => File C:\Dokumente und Einstellungen\dsp\Lokale Einstellungen\Temp\powerscan.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken. Tue Jun 22 16:01:37 2004 => File C:\Dokumente und Einstellungen\dsp\Lokale Einstellungen\Temp\tvmupdater.exe tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken. Tue Jun 22 16:05:02 2004 => File C:\Programme\AVPersonal\INFECTED\BDL14173.EXE.VIR infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:02 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\BETTER[1].EXE.VIR Tue Jun 22 16:05:03 2004 => File C:\Programme\AVPersonal\INFECTED\BETTER[1].EXE.VIR infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:03 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\DW[1].EXE.VIR Tue Jun 22 16:05:03 2004 => File C:\Programme\AVPersonal\INFECTED\DW[1].EXE.VIR infected by "TrojanDownloader.Win32.Realtens.e" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:03 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\INS5E.TMP.VIR Tue Jun 22 16:05:04 2004 => File C:\Programme\AVPersonal\INFECTED\INS5E.TMP.VIR infected by "TrojanDownloader.Win32.Realtens.e" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:04 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ISTBAR.DLL.VIR Tue Jun 22 16:05:04 2004 => File C:\Programme\AVPersonal\INFECTED\ISTBAR.DLL.VIR infected by "TrojanDownloader.Win32.IstBar.fb" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:04 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ISTBAR_SILENT[1].DLL.VIR Tue Jun 22 16:05:04 2004 => File C:\Programme\AVPersonal\INFECTED\ISTBAR_SILENT[1].DLL.VIR infected by "TrojanDownloader.Win32.IstBar.fb" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:04 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\istsvc.VIR Tue Jun 22 16:05:05 2004 => File C:\Programme\AVPersonal\INFECTED\istsvc.VIR infected by "Trojan.Win32.IstSvc.a" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR Tue Jun 22 16:05:05 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.bq" Virus. Action Taken: File Deleted. Tue Jun 22 16:05:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OPTIMIZE[1].EXE.VIR Tue Jun 22 16:05:05 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE[1].EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.bq" Virus. Action Taken: File Deleted. Tue Jun 22 17:01:13 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP282\A0052356.rbf tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Jun 22 17:03:00 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP300\A0056475.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken. Tue Jun 22 17:03:00 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP300\A0056477.exe infected by "Trojan.Win32.IstSvc.a" Virus. Action Taken: File Deleted. Tue Jun 22 17:03:05 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP302\A0056563.exe tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken. Tue Jun 22 17:03:05 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP302\A0056564.dll tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken. Tue Jun 22 17:03:05 2004 => File C:\System Volume Information\_restore{B13EECD8-BCC0-49DD-B3B6-86FB401555F3}\RP302\A0056565.dll tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken. Des weiteren Vermute ich mal, dass der Ordner bsx im C:\Windows nichts zu suchen hat. BAT / Mumu findet der AntiSpy immer noch, aber ich vermute mal, dass das ein Bug ist, da ich "nwiz.exe" im Autostart habe, um meine Nvidia Gforce zu betreiben. Außerdem hat sonst keiner drauf angeschlagen. Editiere den Log später hier herrein. Gruß und tiefsten Respekt, Falk |
|
|
||
25.06.2004, 12:26
Ehrenmitglied
Beiträge: 29434 |
#14
http://www.symantec.com/avcenter/venc/data/pf/adware.navhelper.html
1. Deinstalliere NavHelper # Click Start > Control Panel. # In the Control Panel window, double-click Add or Remove Programs. Loesche C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\dvdrnb30.exe NHelper.dll 2..Bookedspace noch einmal an die Arbeit machen...... Loesche C:\Dokumente und Einstellungen\dsp\Eigene Dateien\Downloads\setupcdripper.exe Start<Ausfuehren<regedit loesche auf der rechten Seite HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bs3.dll,DllRun bsx5.dll,DllRun # HKEY_CLASSES_ROOT\AppID\{0DC5CD7C-F653-4417-AA43-D457BE3A9622} # HKEY_CLASSES_ROOT\AppID\BookedSpace.DLL # HKEY_CLASSES_ROOT\BookedSpace.Extension.5 # HKEY_CLASSES_ROOT\BookedSpace.Extension # HKEY_CLASSES_ROOT\CLSID\{0019C3E2-DD48-4A6D-ABCD-8D32436323D9} # HKEY_CLASSES_ROOT\TypeLib\{0DC5CD7C-F653-4417-AA43-D457BE3A9622} # HKEY_CLASSES_ROOT\Interface\{05080E6B-A88A-4CFD-8C3D-982557670B6E} schliesse die Registry loesche oo4.dll bxxs5.dll bs3.dll bsx5.dll 1. Click Start, and then click Ausfuehren 2. Type, or copy and paste, the following text: regsvr32 /u "<path to .dll file>" where <path to .dll file> is the path and file name written in step 2d. An example would look like this: regsvr32 /u "c:\windows\system32\bsx5.dll" und auch bs3.dll 3. Click OK. 4. If a dialog box confirming this action appears, click OK. .......................................................................................................... 3.loesche C:\Dokumente und Einstellungen\dsp\Lokale Einstellungen\Temp\powerscan.exe ......................................................................................................... Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder ................................................................................................................. Lies dir das mal durch...wegen der P3P http://www.computercops.biz/modules.php?name=Forums&file=viewtopic&p=429 http://enterprisesecurity.symantec.com/content.cfm?articleid=1834&EID=0 Lade den Firefox..ist sicherer http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.06.2004 um 12:51 Uhr von Sabina editiert.
|
|
|
||
25.06.2004, 14:29
Member
Themenstarter Beiträge: 16 |
#15
HI! I am back!
Also Reg ist soweit sauber, vom booked space, wiederherstellung ist schon seit gestern aus und der SpySoft spuckt mir nur noch diese Sachen aus! Starting Scanning (Smart Scan Mode) 1) MainPean Dialer Name: Software\Freeware Type: Registry Key 2) Winpup32 Name: Interface\{48E59291-9880-11CF-9754-00AA00C00908} Type: Registry Key 3) Winpup32 Name: Interface\{48E59292-9880-11CF-9754-00AA00C00908} Type: Registry Key 4) Bat/Mumu-A Name: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwiz Type: Registry Value Scan Finished Wie gesagt, das Removal von Symatec ist drüber gelaufen! Der Dialer steht ebensowenig wie der NavHelper in den Softwareeinstellungen, dafür habe ich dort den TVMedia und ein paar andere Freunde gefunden. Darunter verdächtige Programme wei URL.IE APP und TP HTTP, die mir nichts sagen (weitere wären Search OS, SMB OS, Support Software, alle ohne weitere Beschreibung) Die P3P Artikel sind ja interessant, aber unschlüssig sind sie über das weitere Verfahren damit auch, wenn ich das Verstanden habe. Unsicher ist es aber wohl auch, na ja Microsoft mal wieder halb gedacht. Die Dateien aus dem Temp sind auch raus, kann ich einfach das ganze Verzeichnis mal löschen?? Waren auch noch andere komsiche Sachen drin. Eine aktuelle mwav kommt so in 2-3 Stunden! Danke, Gruß Falk //Edit// Hier der Mwav log in Teilen: Fri Jun 25 14:23:16 2004 => ********************************************************** Fri Jun 25 14:23:16 2004 => eScan AntiVirus Toolkit Utility. Fri Jun 25 14:23:16 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Fri Jun 25 14:23:16 2004 => Fri Jun 25 14:23:16 2004 => Support: support@mwti.net Fri Jun 25 14:23:16 2004 => Web: http://www.mwti.net Fri Jun 25 14:23:16 2004 => ********************************************************** Fri Jun 25 14:23:16 2004 => Version 4.2.4 Fri Jun 25 14:23:16 2004 => Log File: C:\DOKUME~1\dsp\LOKALE~1\Temp\mwav.log Fri Jun 25 14:23:16 2004 => Latest Date of files inside MWAV: 20 Jun 2004 15:17:25. Fri Jun 25 14:23:16 2004 => Options Selected by User: Fri Jun 25 14:23:16 2004 => Memory Check: Enabled Fri Jun 25 14:23:16 2004 => Registry Check: Enabled Fri Jun 25 14:23:16 2004 => StartUp Folder Check: Enabled Fri Jun 25 14:23:16 2004 => System Folder Check: Enabled Fri Jun 25 14:23:16 2004 => System Area Check: Disabled Fri Jun 25 14:23:16 2004 => Services Check: Enabled Fri Jun 25 14:23:16 2004 => Drive Check: Enabled Fri Jun 25 14:23:16 2004 => All Drive Check isabled Fri Jun 25 14:23:16 2004 => Scanning Type: Scan And Clean Fri Jun 25 14:23:16 2004 => Drive Selected = C:\ Fri Jun 25 14:23:16 2004 => Folder Check: Disabled Fri Jun 25 14:23:16 2004 => ***** Scanning Memory Files ***** Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\services.exe Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\lsass.exe Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\svchost.exe Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\System32\svchost.exe Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe Fri Jun 25 14:23:16 2004 => Scanning File C:\WINDOWS\SOUNDMAN.EXE Fri Jun 25 14:23:17 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE Fri Jun 25 14:23:17 2004 => Scanning File C:\PROGRA~1\MOTHER~1\MBM5.EXE Fri Jun 25 14:23:17 2004 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE Fri Jun 25 14:23:17 2004 => Scanning File C:\PROGRA~1\SPYBOT~1\TeaTimer.exe Fri Jun 25 14:23:17 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE Fri Jun 25 14:23:18 2004 => Scanning File C:\WINDOWS\System32\nvsvc32.exe Fri Jun 25 14:23:18 2004 => Scanning File C:\WINDOWS\System32\svchost.exe Fri Jun 25 14:23:18 2004 => Scanning File C:\Programme\IMONC\Imonc.exe Fri Jun 25 14:23:18 2004 => Scanning File C:\Programme\Opera7\opera.exe Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\explorer.exe Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\System32\taskmgr.exe Fri Jun 25 14:23:19 2004 => Scanning File C:\DOKUME~1\dsp\LOKALE~1\Temp\mwavscan.com Fri Jun 25 14:23:19 2004 => Scanning File C:\DOKUME~1\dsp\LOKALE~1\Temp\kavss.exe Fri Jun 25 14:23:19 2004 => ***** Scanning Registry Files ***** Fri Jun 25 14:23:19 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\Explorer.exe Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\system32\userinit.exe Fri Jun 25 14:23:19 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\SOUNDMAN.EXE Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\system32\RUNDLL32.EXE Fri Jun 25 14:23:19 2004 => Scanning File C:\WINDOWS\system32\nwiz.exe Fri Jun 25 14:23:19 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE Fri Jun 25 14:23:19 2004 => Scanning File C:\PROGRA~1\MOTHER~1\MBM5.EXE Fri Jun 25 14:23:20 2004 => Scanning File C:\WINDOWS\System32\PSDrvCheck.exe Fri Jun 25 14:23:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri Jun 25 14:23:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri Jun 25 14:23:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri Jun 25 14:23:20 2004 => Scanning File C:\Programme\IMONC\Imonc.exe Fri Jun 25 14:23:20 2004 => Scanning File C:\PROGRA~1\SPYBOT~1\TeaTimer.exe Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri Jun 25 14:23:20 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri Jun 25 14:23:20 2004 => Scanning HKCR\txtfile\shell\open\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\comfile\shell\open\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\exefile\shell\open\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\dllfile\shell\open\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\batfile\shell\open\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\piffile\shell\open\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\scrfile\shell\open\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\scrfile\shell\config\command Fri Jun 25 14:23:20 2004 => Scanning HKCR\regfile\shell\open\command Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bs3.dll Fri Jun 25 14:23:54 2004 => File C:\WINDOWS\bs3.dll tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken. Fri Jun 25 14:23:54 2004 => Scanning Folder: C:\WINDOWS\bsx32\*.* Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADBN1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC2.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC3.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC4.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVC5.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ADVCTX2.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ASIWS1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ASIWS2.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\ASIWS3.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\AUTOS1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\BID1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\BingoRoom1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARD2.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARS1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARS2.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CARS3.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CAS1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CASH1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CASH2.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\CCS1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DATE3.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DEBT1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DEEPS1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DENT1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DRUG1.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\DRUG3.bsx Fri Jun 25 14:23:54 2004 => Scanning File C:\WINDOWS\bsx32\EBAD1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EBAY1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EBYA1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EBYA2.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EDU1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EML1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EXPE1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\EXPE2.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FAM1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FAST1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FINC1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FINC3.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FINC4.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FindRomance1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FLWR1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\FMND1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\GIFT1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL2.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL3.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEAL4.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HEBE1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HERBS1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HGH1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HGH2.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOGAR1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOMES1.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOMES2.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\HOMES3.bsx Fri Jun 25 14:23:55 2004 => Scanning File C:\WINDOWS\bsx32\INK1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\INSUR1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\INSUR3.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\INSUR4.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\JOBS2.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\JOBS3.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\KanFinance1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\KanFinance3.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\MORT1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\MORT2.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\MOVS1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\NEWS1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\OPPR2.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\OPPS1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\PEEL4.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\PENIS1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\PENIS2.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\RAM1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SHOP1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\Singles1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SLC1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SPORT1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SPZ1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\SPZ3.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TECH1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TMP1.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TRVL2.bsx Fri Jun 25 14:23:56 2004 => Scanning File C:\WINDOWS\bsx32\TV1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\Useful1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\UTN1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\UTONE1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\VENUE1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WIRE1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WOMEN1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WSMSI2.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\WWW1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\XCHG1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\XTFL1.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32\XTFL2.bsx Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx32.ini Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\bsx5.dll Fri Jun 25 14:23:57 2004 => File C:\WINDOWS\bsx5.dll tagged as not-a-virus:AdvWare.BookedSpace.b. No Action Taken. Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\cdplayer.ini Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\clock.avi Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\cnwrqpwn.exe Fri Jun 25 14:23:57 2004 => File C:\WINDOWS\cnwrqpwn.exe tagged as not-a-virus:AdvWare.180Solutions. No Action Taken. Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\comsetup.log Fri Jun 25 14:23:57 2004 => Scanning Folder: C:\WINDOWS\Config\*.* Fri Jun 25 14:23:57 2004 => Scanning Folder: C:\WINDOWS\Connection Wizard\*.* Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\control.ini [**] Fri Jun 25 14:23:57 2004 => Scanning Folder: C:\WINDOWS\Cursors\*.* Fri Jun 25 14:23:57 2004 => Scanning File C:\WINDOWS\Cursors\3dgarro.cur Fri Jun 25 15:38:56 2004 => Scanning Folder: C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\*.* Fri Jun 25 15:38:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc1.dll Fri Jun 25 15:38:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc2.dll Fri Jun 25 15:38:56 2004 => Scanning Folder: C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc3\*.* Fri Jun 25 15:38:56 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc4.exe Fri Jun 25 15:38:57 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc4.exe tagged as not-a-virus:AdvWare.NavExcel. No Action Taken. Fri Jun 25 15:38:57 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc5.exe Fri Jun 25 15:38:58 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc5.exe tagged as not-a-virus:AdvWare.BookedSpace.a. No Action Taken. Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc6.exe Fri Jun 25 15:38:58 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc6.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken. Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc7.exe Fri Jun 25 15:38:58 2004 => File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\Dc7.exe tagged as not-a-virus:AdvWare.TotalVelocity.g. No Action Taken. Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\desktop.ini Fri Jun 25 15:38:58 2004 => Scanning File C:\RECYCLER\S-1-5-21-725345543-920026266-1343024091-1004\INFO2 Fri Jun 25 15:38:58 2004 => Scanning File C:\Setup.log Fri Jun 25 15:38:58 2004 => Scanning Folder: C:\System Volume Information\*.* Fri Jun 25 15:38:58 2004 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5) Fri Jun 25 15:38:58 2004 => Scanning File C:\vlist.log Fri Jun 25 15:38:58 2004 => Scanning Folder: C:\WUTemp\*.* Fri Jun 25 15:38:58 2004 => ***** Checking for specific ITW Viruses ***** Fri Jun 25 15:38:58 2004 => Checking for Welchia Virus... Fri Jun 25 15:38:58 2004 => Checking for LovGate Virus... Fri Jun 25 15:38:58 2004 => Checking for CodeRed Virus... Fri Jun 25 15:38:58 2004 => Checking for OpaServ Virus... Fri Jun 25 15:38:58 2004 => Checking for Sobig.e Virus... Fri Jun 25 15:38:58 2004 => Checking for Winupie Virus... Fri Jun 25 15:38:58 2004 => Checking for Swen Virus... Fri Jun 25 15:38:58 2004 => Checking for JS.Fortnight Virus... Fri Jun 25 15:38:58 2004 => Checking for Novarg Virus... Fri Jun 25 15:38:58 2004 => ***** Scanning complete. ***** Fri Jun 25 15:38:58 2004 => Total Number of Files Scanned: 106118 Fri Jun 25 15:38:58 2004 => Total Number of Virus(es) Found: 9 Fri Jun 25 15:38:58 2004 => Total Number of Disinfected Files: 0 Fri Jun 25 15:38:58 2004 => Total Number of Files Renamed: 0 Fri Jun 25 15:38:58 2004 => Total Number of Deleted Files: 0 Fri Jun 25 15:38:58 2004 => Total Number of Errors: 1 Fri Jun 25 15:38:58 2004 => Time Elapsed: 01:15:31 Fri Jun 25 15:38:58 2004 => Virus Database Date: 2004/06/20 Fri Jun 25 15:38:58 2004 => Virus Database Count: 95240 Fri Jun 25 15:38:58 2004 => Scan Completed. Dieser Beitrag wurde am 25.06.2004 um 15:52 Uhr von falk editiert.
|
|
|
||
bearbeite gerade meinen XP Rechner, der wohl schwer Verseucht ist. 180 Solutions bin ich wohl schon losgeworden, Ad Aware lief schon drüber und hat nichts gefunden, Antivir läuft eben. Alles im abgesicherten Modus.
Folgende Dateien bereiten mir nach wie vor Kopfschmerzen:
- Tv Media (Programm -> Tv Media, auch im Autostart drin, 2x da nicht rauszunehmen
- PowerScan (Start -> Programme, kam und geht nicht mehr weg)
LogFile kommt nachdem ich mit den empfohlenen Suchprogs drüber bin!
//Edit://
Hier der Log File, wobei ich vorweg sagen muss, dass Antivir noch folgenden Trojaner gefunden hat : TR/Dldr.IstBA.II.12 was das auch immer war. Desweiteren hat er auch schon vorher diverse Dateien gelöscht und ich selber den Temp Folder des IE geleert, in dem wohl zahlreiche sachen versteckt waren.
Hier der LOG: (teilweise kommentiert)
Logfile of HijackThis v1.97.7
Scan saved at 15:43:15, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Motherboard Monitor 5\MBM5.EXE (OK, Temperaturkontrolle)
C:\Programme\IMONC\Imonc.exe (Routersteuerung)
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe (gut oder nicht gut?)
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Dokumente und Einstellungen\dsp\Desktop\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://web.de/ (Hijack??)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll (Problem!!!)
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\Programme\scbar\v2\scbar.dll (file missing) (ebenso Prob)
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll (kenn ich nicht, haber aber auch bs(x)3.dll)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx (???? Radio???)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun (????)
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun (????)
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [fli4l] "C:\Programme\IMONC\Imonc.exe" /s:192.168.0.1
O4 - Startup: Verknüpfung mit Imonc.lnk = C:\Programme\IMONC\Imonc.exe
O9 - Extra button: Preispiraten (HKLM) (???? Braucht der das wirklich??)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37960.6447685185
O16 - DPF: {A7798D6C-C6B5-4F26-9363-F7CDBBFFA607} (download Class) - http://www.gigex.com/ActiveX/vxpspeeddelivery.dll (??Muh??)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93856FD8-B1A6-4D8E-B141-83C2AC34E915}: NameServer = 192.168.0.1 (sollte auch wieder mein Router sein)
Danke für die Mühe, immerhin sitze ich wieder an meinem XP Rechner!