virus, der system32 entfernt oder versteckt und bei java absturz??? |
||
---|---|---|
#0
| ||
23.06.2004, 22:53
...neu hier
Beiträge: 4 |
||
|
||
24.06.2004, 17:13
Ehrenmitglied
Beiträge: 29434 |
#2
Lade mwav.exe ..30 Tage free und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp Poste dann, was nicht geloescht wurde. 2.aktualisiere den IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx 3. Lade die Tools von dieser Site und scanne http://www.rokop-security.de/main/article.php?sid=703 4. Lade SPHjfix.exe...scanne ohne Internetverbindung http://www.rokop-security.de/main/article.php?sid=746 5.Gehe in die Registry und loesche HKEY_LOCAL_MACHINE\Software\WhenUSave... HKCR\WUSN.1 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [NVIEW] #Software\Microsoft\Internet Explorer\Main\Local Page\ loesche den moeglichen Hijacker und schreibe deinen Startseite ein mit diesem Tool findest du alles www.eddys-domain.de/pctools/delete_invalid_file.exe dann loesche unter Windows # Save.exe # Save.html # Readme.txt # SaveUninst.exe # rundll32.exe nview.dll # C:\WINDOWS\SYSTEM\mrhop.dll #C:\WINDOWS\SYSTEM\vbar332.dll Dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle deine Startseite ein. Dann poste das Log noch mal __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.01.2005 um 15:52 Uhr von Sabina editiert.
|
|
|
||
24.06.2004, 17:40
...neu hier
Themenstarter Beiträge: 4 |
#3
also ich hab mwav.exe bereits vorhin gestartet und 2 daten per hand löschen müssen.. das eine war eine exe (advware.cydoor), das andere war ebenfalls eine exe (win32.reboot)
- ich hatte aber auch nur vbar332.dll am pc von allem genannten!? HKEY_LOCAL_MACHINE\Software\WhenUSave... HKCR\WUSN.1 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [NVIEW] die 3 finde ich leider nicht.. (egal ob ich manuell oder automatisch suche) [EDIT]!!! so.. ich hab jetzt vieles getan.. alles was du sagtest.. ausser dieses sphjfix oder so.. das geht nicht, weil ich win 98se hab ansonsten sagt keins der viren/malware programme mehr irgendwas.. Logfile of HijackThis v1.97.7 Scan saved at 21:32:18, on 24.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk G:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE G:\SBPCI\PROGRAM\CTMIX32.EXE C:\WINDOWS\SYSTEM\LVCOMS.EXE F:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE H:\ICQ\ICQ.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE F:\WINPROGRAMME\NORTON COMMANDER\NC.EXE E:\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.ExE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EM_EXEC] F:\WINPRO~1\LOGITE~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [CreativeMixer] g:\sbpci\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\NAVAPW32.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] H:\ICQ\ICQNet.exe O4 - HKLM\..\Run: [SmcService] G:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [SmcService] G:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKCU\..\RunOnce: [ICQ] H:\ICQ\ICQ.EXE -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab .. ich werde gleich mal im java testen obs läuft Dieser Beitrag wurde am 24.06.2004 um 21:35 Uhr von Drake-S- editiert.
|
|
|
||
25.06.2004, 10:16
Ehrenmitglied
Beiträge: 29434 |
#4
WhenUSave hat wahrscheinlich der Spybot geloescht.
Das Log ist sauber. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.06.2004, 15:17
...neu hier
Themenstarter Beiträge: 4 |
||
|
||
29.06.2004, 07:51
Member
Beiträge: 21 |
#6
guten morgen!
da ich schon ziemlich lange über ein problem sitze und ich nicht im stande bin dieses zu lösen, wende ich mich mit der bitte um hilfe an euch. fakt: erhalte nacht dem start die meldung: RUNDLL fehler beim laden von C:/Windows/javafb32dll das angegebene modul wurde nicht gefunden! vorgeschichte: hatte eine website geöffnet, danach hat sich ein fenster nach dem anderen geöffnet und ich musste meinen PC mit sanfter gewalt herunterfahren. anschließend hat mir norton antiVirus 8 dateien als bedrohung angezeigt. norton hat davon einige dateien gelöscht. die restlichen habe ich manuell gelöscht. unter anderem auch die datei: javafb32dll nun erhalte ich nach dem start die oben beschriebene meldung in doppelter ausführung!! im systemkonfigurationsprogramm scheint unter systemstartelement: javafb32dll befehl: rundll32C:/windows/javafb32.dll, Install pfad: HKLM/software/microsoft/windows/currentVer auf. nun, wenn ich javafb32dll deaktiviere, bekomme ich nach dem neustart die meldung: sie haben das systemkonf.programm verwendet, um einige änderungen an den windows-startoptionen vorzunehmen. das systemkonf.programm befindet sich zuzeit im diagnosemodus oder im modus für den benutzerdefinierten systemstart. daher wird diese meldung angezeigt und dieses programm bei jedem windows-systemstart ausgeführt. wählen sie den normalen systemstart auf der registerkarte "allgemein", um windows normal zu starten und sämtliche änderungen, die unter verwendung des systemkong.programm durchgeführt wurden, rückgängig zu machen. ich hoffe, es ist nicht zu mühsam, den gesamten inhalt zu lesen. weiss auch nicht, was sich sonst noch so alles auf meinem PC befindet!! norton zeigt keine bedrohung derzeit an - denke, soll nichts heissen! danke euch Ciao Nina |
|
|
||
29.06.2004, 09:47
Ehrenmitglied
Beiträge: 29434 |
#7
@ninaf.
http://board.protecus.de/t9391.htm Lade das HijackThsi, scanne und save. Dann kopiere das Log hier ins Forum. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich hab ein großes problem..
also ich hab seit einiger zeit das problem, wenn ich java-applets starte, dass mein pc ziemlich schnell abschmiert, blue-screens, verschiedene programmabstürze.. wenn ich aber die finger von java lasse funktioniert alles..
ich habs probiert mit java deinstallation und neuinstallation, clienten neu runtergeladen, sicherheitsupdates von windows etc.etc..
hat alles nichts genutzt..
ich schätze es ist ein virus, trojaner oder so..
denn ich hab einiges entdeckt:
1.) bei netstat findet man auf mehreren ports ads.web.aol.com:80
2.) meine system32\ ist total leer bis auf devices\ und 2 dateien.. also auch keine system32.dll und so.. trotzdem läuft das system.. - könnte sein, dass sie nur unsichtbar oder verschoben sind oder so!?
3.) scheint mit java zu laufen, siehe problem oben..
norton anti-virus, a² und ad-aware finden nix..
und selbst meine firewall (sygate) hält den "?virus?" nicht auf..
bitte helft mir,
hoffe auf schnelle antwort,
drake
p.s.:
meine hijackthis log
Logfile of HijackThis v1.97.7
Scan saved at 09:02:17, on 24.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
G:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
F:\WINPROGRAMME\LOGITECH MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
G:\SBPCI\PROGRAM\CTMIX32.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
F:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
H:\ICQ\ICQ.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\JAVA.EXE
F:\WINPROGRAMME\NORTON COMMANDER\NC.EXE
F:\WINPROGRAMME\NORTON COMMANDER\NC.EXE
E:\HIJACKTHIS.EXE
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] F:\WINPRO~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CreativeMixer] g:\sbpci\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AT-Watch] E:\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] E:\ANTI-TROJAN-55\ATWatch.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SmcService] G:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SmcService] G:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\RunOnce: [ICQ] H:\ICQ\ICQ.EXE -trayboot
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.3.1_04) -
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone-dev.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38155.4053240741
wobei ich icq, hijackthis, einen java-chat (weil ich die ursache provozieren möchte), den internetexplorer, 2 mal norton commander, sygate firewall, den maustreiber, soundkartentreiber und norton antivirus 2002 und 1 dos-eingabefenster offen habe
bin mal mit norton system works durch und hab ein wenig was per hijackthis rausgenommen:
Logfile of HijackThis v1.97.7
Scan saved at 12:03:54, on 24.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
G:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
F:\WINPROGRAMME\LOGITECH MOUSEWARE\SYSTEM\EM_EXEC.EXE
G:\SBPCI\PROGRAM\CTMIX32.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
F:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
H:\ICQ\ICQ.EXE
F:\WINPROGRAMME\NORTON COMMANDER\NC.EXE
E:\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] F:\WINPRO~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CreativeMixer] g:\sbpci\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [NAV Agent] F:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SmcService] G:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SmcService] G:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\RunOnce: [ICQ] H:\ICQ\ICQ.EXE -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
irgendwelche ideen?
könnte eins der neuesten system updates von microsoft "schuld" sein, dass die system32-inhalte bis auf die drivers als "nicht vorhanden" gelten, weil niemand dort etwas zu suchen hat?
hab spy-bot mal rennenlassen:
Starting Scanning (Smart Scan Mode)
Scanning running processes.
1) : C:\WINDOWS\SYSTEM\USER32.DLL
2) : C:\WINDOWS\SYSTEM\NVIEW.DLL
3) : C:\WINDOWS\SYSTEM\MSNP32.DLL
4) : C:\WINDOWS\SYSTEM\NVIEW.DLL
5) : F:\WINPROGRAMME\LOGITECH MOUSEWARE\SYSTEM\LGMOUSHK.DLL
6) : C:\WINDOWS\SYSTEM\NVIEW.DLL
7) : G:\PROGRAMME\SYGATE\SPF\SSSENSOR.DLL
8) : G:\PROGRAMME\SYGATE\SPF\SSSENSOR.DLL
9) : G:\PROGRAMME\SYGATE\SPF\SSSENSOR.DLL
10) : C:\WINDOWS\SYSTEM\NVIEW.DLL
11) : G:\PROGRAMME\SYGATE\SPF\SSSENSOR.DLL
12) : G:\PROGRAMME\SYGATE\SPF\SSSENSOR.DLL
13) : C:\WINDOWS\SYSTEM\NVIEW.DLL
14) : G:\PROGRAMME\SYGATE\SPF\SSSENSOR.DLL
15) : C:\WINDOWS\SYSTEM\WMIEXE.EXE
16) : F:\WINPROGRAMME\LOGITECH MOUSEWARE\SYSTEM\LGMOUSHK.DLL
17) : C:\WINDOWS\SYSTEM\MSI.DLL
18) : C:\WINDOWS\SYSTEM\URLMON.DLL
1) MainPean Dialer
Name: SOFTWARE\MainPean Highspeed
Type: Registry Key
2) Winpup32
Name: Interface\{48E59291-9880-11CF-9754-00AA00C00908}
Type: Registry Key
3) Winpup32
Name: Interface\{48E59292-9880-11CF-9754-00AA00C00908}
Type: Registry Key
4) Bat/Mumu-A
Name: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwiz
Type: Registry Value
5) CoolWebSearch
Name: software\microsoft\windows\currentversion\run\quicktime task
Type: Registry Value
6) SaveNow
Name: wusn.1
Type: Registry Value
7) CWS.mrhop
Name: Software\Microsoft\Internet Explorer\Main\Local Page:@:C:\WINDOWS\SYSTEM\blank.htm
Type: Registry Value
8) CWS.mrhop
Name: Software\Microsoft\Internet Explorer\Main\Local Page:@:C:\WINDOWS\SYSTEM\blank.htm
Type: Registry Value
9) SaveNow
Name: C:\WINDOWS\SYSTEM\vbar332.dll
Type: File
Scan Finished