Easy-search.biz macht mir ärger ! |
||
---|---|---|
#0
| ||
10.08.2004, 12:26
...neu hier
Beiträge: 6 |
||
|
||
10.08.2004, 12:32
Member
Beiträge: 1122 |
#2
Fix:
O4 - HKCU\..\Run: [runwin32] D:\WINDOWS\runwin32.exe O4 - HKCU\..\Run: [wininet32] D:\WINDOWS\wininet32.exe O9 - Extra button: Microsoft® VBScript® Console - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) O9 - Extra button: Microsoft® VBScript® Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU) MFG DAFRA P.s. Lösche danach D:\WINDOWS\runwin32.exe und D:\WINDOWS\wininet32.exe |
|
|
||
10.08.2004, 14:13
Ehrenmitglied
Beiträge: 29434 |
#3
@träumer34
http://www.sophos.de/virusinfo/analyses/trojesearcha.html Virusinformation Troj/ESearch-A Troj/ESearch-A ändert die Browser-Einstellungen für den Microsoft Internet Explorer, startet zwei Programme namens wininet32.exe und dialup.exe im Windows-Ordner und versucht in regelmäßigen Abständen, Updates für dialup.exe herunterzuladen und zu starten............................... ................................................................................................................................. #Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Fixe, was gepostet wurde und Neustarten (!) #Lade mwav.exe und scanne <alle Dateien, Driver...)-CleanScan http://www.mwti.net/antivirus/free_utilities.asp #Lade AdAware (free) http://www.lavasoft.de/support/download/ #mache alle WindowsUpdates (falls keine cdkey vorhanden, alles ausser SP1 #aktualisiere den IE (keine cdkey notwendig) http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Lade ClearProg http://www.clearprog.de/ Loesche: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Optimiere mit TuneUp (30 Tage free) den Compi http://www.tuneup.de/download/ Dann stelle unter <InternetOptionen< eine Startseite ein und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.08.2004 um 14:20 Uhr von Sabina editiert.
|
|
|
||
10.08.2004, 16:06
...neu hier
Themenstarter Beiträge: 6 |
#4
Ja, mache ich. Werde mich aber erst Morgen früh wieder melden.
Wie immer, Danke noch einmal @sabina !! Dieser Beitrag wurde am 11.08.2004 um 15:53 Uhr von träumer34 editiert.
|
|
|
||
11.08.2004, 11:21
Ehrenmitglied
Beiträge: 29434 |
#5
Hi träumer34
Der Hijacker ist leider noch nicht weg.... Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O18 - Filter: text/html - {687E0E2A-E6F7-4E93-AF66-5CFADAF99C42} - (no file) O18 - Filter: text/plain - {687E0E2A-E6F7-4E93-AF66-5CFADAF99C42} - (no file) neustarten 0)Gehe in die Registry Start<Ausfuehren<regedit Loesche alle Eintraege, die auf den Hijacker verweisen (auf der rechten Seite der Registry !) HKCU\Software\Microsoft\Internet Explorer\Main\Start Page HKCU\Software\Microsoft\Internet Explorer\Main\Search Page HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar HKLM\Software\Microsoft\Internet Explorer\Main\Start Page HKLM\Software\Microsoft\Internet Explorer\Main\Search Page HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant HKCU\Software\Microsoft\Internet Explorer\SearchUrl\provider schliesse die Registry #im Explorer unter Extras Ordneroptionen (Ansicht) den haken bei Erweiterungen bei bekannten Dateitypen ausblenden und geschuetzte systemdateien ausblenden rausnehmen. Sowie den Button bei ALLE Dateien und Ordner anzeigen setzen. UND #Suche und loesche (falls es noch da ist runwin32.exe wininet32.exe dialup.exe #Loesche dann alle Temporaeren Verzeichnisinhalte samt Internet Explorer Cache auch das Temp in Dokumenten und Einstellungen/Username!!!¨ ............................................................................................................. 1.)Aktiviere deinen Antivirus und update ihn. D:\Programme\AVPersonal\AVWUPSRV.EXE http://www.free-av.de/ #Stelle ein <Guard aktivieren <alle Dateien <scannen <Heuristic:hoch #Gehe in den abgesicherten Modus und mache einen Komplettscann. http://www.bsi.de/av/texte/winsave.htm normal neustarten 2.) Lade von dieser Site (unten rechts) den < about:blank scanner < http://www.adwareaway.com/aboutblank.htm 3.)<eScan< (ich weiss nicht, ob du es schon geladen hast) # "kavupd.exe" suchen und anklicken. Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) #den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken. http://www.mwti.net/antivirus/free_utilities.asp Dann poste bitte die Vireninformation. !!!!! und das neue Log vom HijackThis mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.08.2004 um 11:58 Uhr von Sabina editiert.
|
|
|
||
12.08.2004, 11:34
...neu hier
Themenstarter Beiträge: 6 |
#6
Hallo @ Sabina !
Bin Deiner hervorragender Beschreibung gefolgt und hoffe jetzt wieder einen Schritt weiter zu sein. E´Scan hat nichts mehr ergeben. Hier noch die LOG von Hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 11:30:49, on 12.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\pctspk.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\NVATray.exe D:\PROGRA~1\WinFax\WFXSWTCH.exe D:\WINDOWS\System32\wfxsnt40.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\WinFax\WFXCTL32.EXE D:\WINDOWS\System32\WFXSVC.EXE D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [Power Scan] D:\Programme\Power Scan\powerscan.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Seite mit Google übersetzen - D:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.tui O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1 Sieht jetzt hoffentlich besser aus. Wie kann man denn für die Zukunft am besten vorsorgen ? |
|
|
||
12.08.2004, 12:42
Member
Beiträge: 69 |
#7
@ träumer34,
Dringend! Dein System updaten auf XP SP1 (oder sogar SP2) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file O4 - HKLM\..\Run: [Power Scan] D:\Programme\Power Scan\powerscan.exe unbedingt fixen! Dannach neuer Scan mit HJT, eventuell auch mit eScan: http://www.rokop-security.de/board/index.php?showtopic=3867 und nochmal posten. Für die Zukunft: http://www.ntsvcfg.de/ http://faq.underflow.de/ http://www.dingens.org/ http://www.chip.de/forum/thread.html?bwthreadid=561773 brainbox __________ Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4 |
|
|
||
12.08.2004, 13:00
Ehrenmitglied
Beiträge: 29434 |
#8
@Traeumer
#Fixe bitte noch, was @Brainbox gepostet hat. #Deinstalliere: D:\Programme\Power Scan\powerscan.exe #Dann lade den Firefox als Alternativbrowser und surfe nur mit ihm. http://www.firebird-browser.de/ #Fall du keinen Router hast, lade eine Firewall http://smb.sygate.com/products/spf_standard.htm #Update immer den AdAware und den Antivirus (uebrigens, aktiviere den Guard von Antivirus, damit er unter 04 im Autostart erscheint) #Dann arbeite auch die Tipps von @Brainbox durch. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.08.2004 um 13:01 Uhr von Sabina editiert.
|
|
|
||
12.08.2004, 14:26
...neu hier
Themenstarter Beiträge: 6 |
#9
Hallo ! Habe also alles Probiert, was Ihr gepostet habt, bis auf das Sp1 pack-
Und ich habe jetzt auch nichts mehr im LOG gesehen, auch nach Internetaufruf und Neustart nicht. Habe ich den Mist jetzt etwa raus? Entscheidend war die letzte Empfehlung von Sabina, ich glaube das hat gezogen..... Logfile of HijackThis v1.98.2 Scan saved at 11:20:07, on 13.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\pctspk.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\WFXSVC.EXE D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\NVATray.exe D:\PROGRA~1\WinFax\WFXSWTCH.exe D:\WINDOWS\System32\wfxsnt40.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\WinFax\WFXCTL32.EXE D:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Seite mit Google übersetzen - D:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.tui O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1 Gruß -träumer34 Dieser Beitrag wurde am 13.08.2004 um 11:22 Uhr von träumer34 editiert.
|
|
|
||
12.08.2004, 16:00
Ehrenmitglied
Beiträge: 29434 |
#10
@träumer34
fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {4D80C25F-2B3B-42A9-BAFB-A10FDBBA3E8D} - D:\WINDOWS\System32\fbph.dll O18 - Filter: text/html - {56655DF0-5717-4659-B9D3-0978EE96BADB} - D:\WINDOWS\System32\fbph.dll O18 - Filter: text/plain - {56655DF0-5717-4659-B9D3-0978EE96BADB} - D:\WINDOWS\System32\fbph.dll neustarten http://www.rokop-security.de/main/article.php?sid=746 Lade Sphjfix(schliesse alle Browser und scanne) Ist das Problem mit diesem Tool nicht behoben: Lade dieses Tool, http://www.diamondcs.com.au/index.php?page=apm klicke : D:\Windows\explorer.exe D:\WINDOWS\System32\fbph.dll Dann druecke auf <unload dll< Dann suche D:\WINDOWS\System32\fbph.dll und loesche ! #Scanne mit Antivirus im Abgesicherten Modus (einstellen:heuristic:hoch und <alle Dateien< #Lade ClearProg http://www.clearprog.de/ Loesche: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Stelle unter IE eine neue Startseite ein und poste das Log noch mal ...mit dem IE !(nicht mit dem Firefox) .................................................................................................. Lade den Firefox http://www.firebird-browser.de/ stelle eine Startseite ein und surfe nur mit ihm. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.08.2004 um 16:15 Uhr von Sabina editiert.
|
|
|
||
12.08.2004, 17:24
Member
Beiträge: 64 |
#11
ich möchte hier mal drauf hinweisen das ich auch noch problem damit hab, ich hab den letzten post in meinen thread geändert hab aber noch keine antwort bekommen: http://board.protecus.de/t11824.htm
|
|
|
||
13.08.2004, 00:40
Ehrenmitglied
Beiträge: 29434 |
#12
@daishi
Wenn du das aktuelle Log nicht postet, kann dir auch niemand helfen. Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.08.2004, 08:30
Member
Beiträge: 69 |
#13
@ träumer34,
da kann man Dir 100 Mal Tips geben, da kannst Du 100 Mal alles fixen und deinstallieren, wenn Du Deinen Rechner nicht updatest, wenn Du Dir nicht mindestens das SP1 besorgst wird das nichts. brainbox __________ Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4 |
|
|
||
13.08.2004, 09:45
Member
Beiträge: 1095 |
#14
@träumer
1. brainbox hat recht. Du muß dein Windows updaten. Sonst biste so schnell wieder infiziert und du "Fixed" dich zu Tode 2. Du muß die Einträge im abgesicherten Modus fixen http://www.bsi.de/av/texte/winsave.htm 3. Lass Escan noch im Abgesicherten Modus laufen http://www.rokop-security.de/board/index.php?showtopic=3867 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
13.08.2004, 11:25
...neu hier
Themenstarter Beiträge: 6 |
#15
Hallo ! Habe also alles Probiert, was Ihr gepostet habt, bis auf das Sp1 pack-
Und ich habe jetzt auch nichts mehr im LOG gesehen, auch nach Internetaufruf und Neustart nicht. Habe ich den Mist jetzt etwa raus? Entscheidend war die letzte Empfehlung von Sabina, ich glaube das hat gezogen..... Logfile of HijackThis v1.98.2 Scan saved at 11:20:07, on 13.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\system32\pctspk.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\WFXSVC.EXE D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\NVATray.exe D:\PROGRA~1\WinFax\WFXSWTCH.exe D:\WINDOWS\System32\wfxsnt40.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\WinFax\WFXCTL32.EXE D:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Seite mit Google übersetzen - D:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.tui O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1 Gruß -träumer34 |
|
|
||
Neuling und nicht viel Schimmer. Der Rechner läuft, aber möglicher Weise nur bis zum Neustart. habe hier eine LOG Datei. Da ist wohl immer noch was faul?
Spybot, CWShredder & Co erwischen hier auch nicht alles. Irgenwann kommt dann die Meldung: "Auslagerungsdatei zu klein......wird vergrößert und der Rechner wird lahm"
Habe zwei Anwendungen im Prozesse unterbunden Winnet.exe...runwin.exe
Jamand einen Tip für nen sauberen Rechner?
Logfile of HijackThis v1.98.2
Scan saved at 12:04:08, on 10.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\NVATray.exe
D:\PROGRA~1\WinFax\WFXSWTCH.exe
D:\WINDOWS\System32\wfxsnt40.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\WinFax\WFXCTL32.EXE
D:\WINDOWS\System32\WFXSVC.EXE
D:\WINDOWS\system32\netdde.exe
D:\WINDOWS\system32\clipsrv.exe
D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [runwin32] D:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] D:\WINDOWS\wininet32.exe
O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft® VBScript® Console - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file)
O9 - Extra button: Microsoft® VBScript® Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1