tr/dldr.small.or

#226 Hallo beisammen

Auch ich bin ein Neuling hier in Euren tollen Forum. Google hat mich auf der Suche nach unser Aller Freund Tr/dldr.small.or hierher geführt.
Zusätzlich hat mein free-AV nach dem neuesten Update auch noch einen weiteren Vertreter dieser Gattung gefunden, nämlich TR/Dldr.Mediket.K

Hier ein Auszug aus dem Logfle von free-AV:

C:\
explorer.cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ied_s7.cab
ArchiveType: CAB (Microsoft)
--> ied_s7_c_28.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Mediket.K
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

---------------------------------------------------------

Nach ein wenig Lesen hier im Forum, hab ich mir gleich die aktuelle Version von HiJackThis runtergeladen, welches folgendes Logfile ausspuckt:

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\AOL-Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj5600 - Unknown - C:\DOKUME~1\Friedl\LOKALE~1\Temp\hpdj5600.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung - Unknown - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

-------------------------------------------------------------

Da ich mit diesem Kauderwelsch wie viele meiner Vorredner auch nicht allzuviel anzufangen weiß, hoffe ich jetzt mal auf eine leicht verständliche, nachvollziehbare Hilfe, um den beiden o.g. Kameraden den Garaus machen zu können.

Vielen Dank für Eure Hilfe schon mal vorab.

Gruß Friedl

#227 gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

suche und loesche.
C:\explorer.cab
C:\ied_s7.cab

Antivirus kann diese Dateien nicht loeschen, weil es gepackte Dateien sind (Winrar)
dort musst du suchen.
und loeschen:
#C:\Windows\Downloaded Programm Files\ -->löschen
__________
MfG Sabina

rund um die PC-Sicherheit

#228 Hallo Sabina,
habe mal wieder ungebetene Gäste auf meinem Rechner. Bekomme diese nicht gefixt. Kannst du mir dazu Rat geben.
Danke im vorraus.
Gruss Beto


Logfile of HijackThis v1.99.0
Scan saved at 00:13:44, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\locator.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\VirtuaWin\VirtuaWin.exe
C:\Programme\VirtuaWin\modules\WinList.exe
C:\Programme\LevelOne 11g Wireless Adapter\WLANMON.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Langenscheidt T1 5.0\Engine\mte\StdAlone\MT_Alone.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Langenscheidt T1 5.0\Engine\mte\bin\engine.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Langenscheidt T1 5.0\Engine\mte\bin\lexAPI.exe
C:\DOKUME~1\Ali\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: VirtuaWin.lnk = C:\Programme\VirtuaWin\VirtuaWin.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service - Unknown - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: McAfee.com Personal Firewall Service - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

#229 Hallo@Beto

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

Wenn Sie die Seite 'localhost' nicht kennen, sollte der Eintrag entfernt werden.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

PC neustarten

Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" --> New.Net/NEWDOT

#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm

suche eine dll , die zu : New.Net gehoert, bringe sie von der linken auf die rechte Seite und loesche sie.
<"I know what I'm doing"
------------------------------------------------------------------------------------
#eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Gehe wieder in den Normalmodus

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten.
__________
MfG Sabina

rund um die PC-Sicherheit

#230 Hallo Sabina,
erstmal Danke das Du mir wieder hilfst. Bin leider nur bis hier gekommen....

#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm

das Tool "I Know what i'm doing" konnte ich nicht über diesen Link finden.

#231 http://www.spychecker.com/program/lspfix.html
#LSPfix.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#232 Hallo,

ich habe jetzt einiges vom "Dldr.Small.WV.1" Trojaner gelesen, aber bisher hat mir noch niemand sagen können, WAS genau dieser schädliches tut.

würde mich über eine Antwort freuen!


gruß

tomx992

#233 Dem Namen nach laedt es etwqas aus dem Internet (=Downloader). Das kann immer Variieren, ist aber immer was boeses.
__________
MfG Ralf
SEO-Spam Hunter

#234

Zitat

raman postete
Dem Namen nach laedt es etwqas aus dem Internet (=Downloader). Das kann immer Variieren, ist aber immer was boeses.

ah okay, das ist schon mal ein anfang. danke für die rasche antwort.

#235 Hallo @ Sabina!
Ich habe vor einiger Zeit hier im Forum wegen coolsearch Hilfe gesucht. Du hast mir super weitergeholfen, und ich bin das Ding losgeworden. Jetzt wollte ich einem Bekannten helfen, der ein ähnliches Problem hat (nur schlimmer), doch ich komme da leider nicht weiter.
Es wäre super nett, wenn Du mal über das Logfile gucken könntest, und mir dann verständlich sagst, was ich machen soll.

Vielen Dank im voraus!

Hier das Logfile von Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 21:17:07, on 19.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\PCLETRAY.EXE
C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\IWCTRL.EXE
C:\WINDOWS\SYSTEM\KEZ.EXE
C:\WINDOWS\ANWENDUNGSDATEN\SOLW.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\TEMP\TD_0004.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL = http://www.searchnow.ws/search/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.crooder.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freehqmovies.com/enter.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.crooder.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.crooder.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.freehqmovies.com/enter.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F1 - win.ini: run=hpfsched
O1 - Hosts: 193.125.201.46 thehun.net
O1 - Hosts: 193.125.201.46 www.thehun.net
O1 - Hosts: 193.125.201.46 thehun.com
O1 - Hosts: 193.125.201.46 www.thehun.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {33F93B08-B643-51EA-8753-60550DF27C4F} - C:\WINDOWS\SYSTEM\VWZUTP.DLL (file missing)
O2 - BHO: (no name) - {6BF9395C-B512-0BB0-8753-60550DF32947} - C:\WINDOWS\SYSTEM\JRKIRQEV.DLL
O2 - BHO: (no name) - {9BBA6DE6-449A-4D69-A294-993124BD4996} - C:\WINDOWS\SYSTEM\GCJM.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Cat's Claw] C:\VIRUSC~1\WIN95\Claw95.exe
O4 - HKLM\..\Run: [SexNow] C:\WINDOWS\SexNow.exe -n
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\SYSTEM\PSDrvCheck.exe
O4 - HKLM\..\Run: [teenxxx] C:\WINDOWS\DIALER\PDIALER.EXE !m
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Ibbth] C:\WINDOWS\SYSTEM\kez.exe
O4 - HKCU\..\Run: [Ddan] C:\WINDOWS\Anwendungsdaten\solw.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .ica: C:\PROGRA~1\INTERN~1\PLUGINS\NPICAN.DLL
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O18 - Filter: text/html - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL
O18 - Filter: text/plain - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL

#236 Hallo@badman

«Windows Me
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924
->>Öffne dafür »Systemsteuerung | System« und wechsel zu
»Systemwiederherstellung«. Dort hake dann
»Systemwiederherstellung auf allen Laufwerken deaktivieren« ab.


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL = http://www.searchnow.ws/search/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.crooder.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freehqmovies.com/enter.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.crooder.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.crooder.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.freehqmovies.com/enter.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 193.125.201.46 thehun.net
O1 - Hosts: 193.125.201.46 www.thehun.net
O1 - Hosts: 193.125.201.46 thehun.com
O1 - Hosts: 193.125.201.46 www.thehun.com
O2 - BHO: (no name) - {33F93B08-B643-51EA-8753-60550DF27C4F} - C:\WINDOWS\SYSTEM\VWZUTP.DLL (file missing)
O2 - BHO: (no name) - {6BF9395C-B512-0BB0-8753-60550DF32947} - C:\WINDOWS\SYSTEM\JRKIRQEV.DLL
O2 - BHO: (no name) - {9BBA6DE6-449A-4D69-A294-993124BD4996} - C:\WINDOWS\SYSTEM\GCJM.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL (file missing)
O4 - HKLM\..\Run: [SexNow] C:\WINDOWS\SexNow.exe -n -->Dialer
O4 - HKLM\..\Run: [teenxxx] C:\WINDOWS\DIALER\PDIALER.EXE !m --> Dialer
O4 - HKCU\..\Run: [Ibbth] C:\WINDOWS\SYSTEM\kez.exe
O4 - HKCU\..\Run: [Ddan] C:\WINDOWS\Anwendungsdaten\solw.exe
O18 - Filter: text/html - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL
O18 - Filter: text/plain - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\TEMP\sp.dll
C:\WINDOWS\TEMP\sp.dll/sp.html
C:\WINDOWS\SYSTEM\GCJM.DLL
C:\WINDOWS\SYSTEM\kez.exe
C:\WINDOWS\Anwendungsdaten\solw.exe
C:\WINDOWS\DIALER\PDIALER.EXE
C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
C:\WINDOWS\SexNow.exe
C:\WINDOWS\SYSTEM\VWZUTP.DLL
C:\WINDOWS\SYSTEM\JRKIRQEV.DLL

PC neustarten

loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

#backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

#Antivirus (free)--> poste mir das Log vom Scann
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

#AboutBuster--> updaten-->scannen--> poste mir das Log vom Scann
www.malwarebytes.biz/AboutBuster.zip

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
scannen--> neustarten--> noch mal scannen--> poste mir das Log vom Scann

CWShredder 2.12 [2004-12-13]--< poste das Log vom Scann
http://www.majorgeeks.com/download3019.html

#Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

------------------------------------------------------------------------------

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis
------------------

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#237 Hallo @ Sabina,

vielen Dank für Deine prompte Antwort. Ich bin nach Deiner guten Anleitung vorgegangen, und scheinbar hat es auch geklappt. Das Problem mit dem Hijacking der Startseite ist behoben und auch sonst scheint mir das Log von HijackThis viel sauberer.
Anbei habe ich die Logs der verschiedenen Programme gepostet:

1. Reportdatei von Antivir:


Erstellungsdatum der Reportdatei: Donnerstag, 20. Januar 2005 13:37

AntiVir®/9x Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.63 (0) vom 14.01.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 95547 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-WURGE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows 98
Windows-Version: 4.90.3000
Benutzername: Standard
Prozessor: Pentium
Arbeitsspeicher: 130488 KB frei
Guard: aktiv

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVEWIN32.DLL : v6.29.0.7 791040 11.01.2005 15:32:46
SYS_RW16.DLL : v6.19.0 12800 25.10.2004 12:33:28
SYS_RW32.DLL : v6.19.0 16384 25.10.2004 12:33:28
AVGCTRL.EXE : v6.28.00.00 86016 30.09.2004 08:10:40
AVGUARD.VXD : v6.29.0.7 481839 11.01.2005 15:33:06
AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46
AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 08:10:40
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 08:10:42
AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:14
AVSched32.DLL : v6.28.00.01 122880 30.09.2004 08:10:42
AVREG.DLL : v6.27.00.01 41000 30.09.2004 08:10:42
AVRep.DLL : v6.29.00.62 868392 14.01.2005 10:59:12
INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:52
INETUPD.DLL : v6.29.00.02 159815 23.11.2004 12:51:52
MFC42.DLL : v6.00.8665.0 995383 08.06.2000 17:00:00
MSVCRT.DLL : v6.10.8637.0 290869 08.06.2000 17:00:00
CTL3D32.DLL : v2.31.000 45056 08.06.2000 17:00:00
CTL3DV2.DLL : v2.31.001 27632 08.06.2000 17:00:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\PROGRAMME\AVPERSONAL\AVWIN.INI
Name der Reportdatei: C:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG
Startpfad: C:\PROGRAMME\AVPERSONAL
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HTM .?HTML .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MHT* .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PHT* .PIF .PKG .PL* .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/9x Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom
F: Diskettenlaufwerk

Start des Suchlaufs: Donnerstag, 20. Januar 2005 13:37

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK



Ende des Suchlaufs: Donnerstag, 20. Januar 2005 13:43
Benötigte Zeit: 05:33 min


974 Verzeichnisse wurden durchsucht
17385 Dateien wurden geprüft
0 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

---------------------------------------------------------------------------
Hier das Log von About Buster:

Scanned at: 13:46:05 on: 20.01.2005


-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 19


ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 19


ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!
---------------------------------------------------------------------------
Das Log von Ad-aware 6.0:


Lavasoft Ad-aware Personal Build 6.181
Logfile created on onnerstag, 20. Januar 2005 13:55:58
Created with Ad-aware Personal, free for private use.
Using reference-file :01R298 20.04.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry


20.01.2005 13:55:58 - Scan started. (Smart mode)

Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [kernel32.dll]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4279180791
Threads : 6
Priority : High
FileSize : 540 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1991-2000
CompanyName : Microsoft Corporation
FileDescription : Kernkomponente des Win32-Kernel
InternalName : KERNEL32
OriginalFilename : KERNEL32.DLL
ProductName : Betriebssystem Microsoft(R) Windows(R) Millennium
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:2 [msgsrv32.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294923151
Threads : 1
Priority : Normal
FileSize : 11 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1992-1998
CompanyName : Microsoft Corporation
FileDescription : Windows 32-Bit-VxD-Meldungsserver
InternalName : MSGSRV32
OriginalFilename : MSGSRV32.EXE
ProductName : Betriebssystem Microsoft(R) Windows(R) Millennium
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:3 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294947791
Threads : 1
Priority : Normal
FileSize : 1 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
OriginalFilename : mmtask.tsk
ProductName : Microsoft Windows
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:4 [mprexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294946315
Threads : 2
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1993-2000
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
OriginalFilename : MPREXE.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:5 [mstask.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294966963
Threads : 2
Priority : Normal
FileSize : 128 KB
FileVersion : 4.71.2721.1
ProductVersion : 4.71.2721.1
Copyright : Copyright (C) Microsoft Corp. 1997
CompanyName : Microsoft Corporation
FileDescription : Taskplaner-Engine
InternalName : TaskScheduler
OriginalFilename : mstask.exe
ProductName : Taskplaner f
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:6 [ssdpsrv.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294964011
Threads : 4
Priority : Normal
FileSize : 54 KB
FileVersion : 4.90.3000.1
ProductVersion : 4.90.3000.1
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : SSDP Service on Windows Millennium
InternalName : ssdpsrv.exe
OriginalFilename : ssdpsrv.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:7 [vsmon.exe]
FilePath : C:\WINDOWS\SYSTEM\ZONELABS\
ProcessID : 4294854731
Threads : 16
Priority : Normal
FileSize : 897 KB
FileVersion : 5.1.033.000
ProductVersion : 5.1.033.000
Copyright : Copyright
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
OriginalFilename : vsmon.exe
ProductName : TrueVector Service
Created on : 19.01.2005 20:08:07
Last accessed : 19.01.2005 23:00:00
Last modified : 22.09.2004 19:21:42

#:8 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294874523
Threads : 19
Priority : Normal
FileSize : 220 KB
FileVersion : 5.50.4134.100
ProductVersion : 5.50.4134.100
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
Created on : 08.06.2000 16:00:00
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:9 [taskmon.exe]
FilePath : C:\WINDOWS\
ProcessID : 4294834891
Threads : 1
Priority : Normal
FileSize : 28 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1998
CompanyName : Microsoft Corporation
FileDescription : Task Monitor
InternalName : TaskMon
OriginalFilename : TASKMON.EXE
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:10 [systray.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294712563
Threads : 2
Priority : Normal
FileSize : 36 KB
FileVersion : 4.90.3000
ProductVersion : 4.90.3000
Copyright : Copyright (C) Microsoft Corp. 1993-2000
CompanyName : Microsoft Corporation
FileDescription : System Tray-Applet
InternalName : SYSTRAY
OriginalFilename : SYSTRAY.EXE
ProductName : Betriebssystem Microsoft(R) Windows(R) Millennium
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:11 [atiptaxx.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294728259
Threads : 1
Priority : Normal
FileSize : 184 KB
FileVersion : 4.12.2481
ProductVersion : 4.12.2481
Copyright : Copyright (C) 1998-2000 ATI Technologies Inc.
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Desktop Control Panel
InternalName : Atiptaxx.exe
OriginalFilename : Atiptaxx.exe
ProductName : ATI Desktop Component
Created on : 06.02.2001 11:59:11
Last accessed : 19.01.2005 23:00:00
Last modified : 06.11.2000 23:40:06

#:12 [directcd.exe]
FilePath : C:\PROGRAMME\ADAPTEC\DIRECTCD\
ProcessID : 4294723635
Threads : 1
Priority : Normal
FileSize : 1100 KB
FileVersion : 3.01d (177)
ProductVersion : 3.01d (177)
Copyright : Copyright (c) 1996-2000 Adaptec, Inc.
CompanyName : Adaptec
FileDescription : DirectCD Application
InternalName : DirectCD
OriginalFilename : DirectCD.EXE
ProductName : DirectCD
Created on : 11.03.2003 08:28:31
Last accessed : 19.01.2005 23:00:00
Last modified : 29.06.2000 02:01:00

#:13 [avgctrl.exe]
FilePath : C:\PROGRAMME\AVPERSONAL\
ProcessID : 4294731411
Threads : 2
Priority : Normal
FileSize : 84 KB
FileVersion : 6.28.00.00
ProductVersion : 6.28.00.00
Copyright : Copyright
CompanyName : H+BEDV Datentechnik GmbH
FileDescription : AntiVir Guard/9x Control Program
InternalName : AVGCtrl
OriginalFilename : AVGCTRL.EXE
ProductName : AntiVir Guard Control Program
Created on : 30.09.2004 07:10:40
Last accessed : 19.01.2005 23:00:00
Last modified : 30.09.2004 07:10:40

#:14 [zlclient.exe]
FilePath : C:\PROGRAMME\ZONE LABS\ZONEALARM\
ProcessID : 4294757739
Threads : 6
Priority : Normal
FileSize : 697 KB
FileVersion : 5.1.033.000
ProductVersion : 5.1.033.000
Copyright : Copyright
CompanyName : Zone Labs Inc.
FileDescription : Zone Labs Client
InternalName : zlclient
OriginalFilename : zlclient.exe
ProductName : Zone Labs Client
Created on : 19.01.2005 20:08:11
Last accessed : 19.01.2005 23:00:00
Last modified : 22.09.2004 19:22:32

#:15 [createcd.exe]
FilePath : C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\
ProcessID : 4294120879
Threads : 1
Priority : Normal
FileSize : 256 KB
FileVersion : 4.02d (292)
ProductVersion : 4.02d (292)
Copyright : Copyright (c) 1996-2000 Adaptec, Inc.
CompanyName : Adaptec
FileDescription : Adaptec Create CD
InternalName : createcd.exe
OriginalFilename : createcd.exe
ProductName : Easy CD Creator
Created on : 11.03.2003 08:27:18
Last accessed : 19.01.2005 23:00:00
Last modified : 30.06.2000 00:38:00

#:16 [reminder.exe]
FilePath : C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\
ProcessID : 4294124503
Threads : 1
Priority : Normal
FileSize : 36 KB
FileVersion : 7.00.2412
ProductVersion : 7.00.2412
Copyright : Copyright (C) Microsoft Corp. 1990-1998. Alle Rechte vorbehalten.
CompanyName : Microsoft Corporation
FileDescription : Microsoft Money Reminder
InternalName : REMINDER
OriginalFilename : REMINDER.EXE
ProductName : Microsoft Money
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 14.03.1999 23:00:00

#:17 [stmgr.exe]
FilePath : C:\WINDOWS\SYSTEM\RESTORE\
ProcessID : 4294153723
Threads : 7
Priority : Normal
FileSize : 60 KB
FileVersion : 4.90.0.2533
ProductVersion : 4.90.0.2533
Copyright : Copyright (C) Microsoft Corp. 1981-2000
CompanyName : Microsoft Corporation
FileDescription : Microsoft (R) PC State Manager
InternalName : StateMgr.exe
OriginalFilename : StateMgr.exe
ProductName : Microsoft (r) PCHealth
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:18 [pcletray.exe]
FilePath : C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\
ProcessID : 4294861307
Threads : 1
Priority : Normal
FileSize : 729 KB
FileVersion : 1.0.0.23
ProductVersion : 1.0.0.0
Copyright : Copyright
CompanyName : Pinnacle Systems
FileDescription : Tray Starter
Created on : 22.10.2003 14:03:50
Last accessed : 19.01.2005 23:00:00
Last modified : 22.10.2003 14:03:50

#:19 [iwctrl.exe]
FilePath : C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\
ProcessID : 4294168963
Threads : 3
Priority : Normal
FileSize : 1096 KB
FileVersion : 4.2.0.54
ProductVersion : 4.0.0.0
Copyright : Copyright 2002-2004 Pinnacle Systems GmbH.
CompanyName : Pinnacle Systems GmbH.
FileDescription : InstantWrite Control Center
InternalName : iwctrl
ProductName : InstantWrite
Created on : 26.02.2004 14:00:48
Last accessed : 19.01.2005 23:00:00
Last modified : 26.02.2004 14:00:48

#:20 [wkcalrem.exe]
FilePath : C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\
ProcessID : 4294124735
Threads : 2
Priority : Normal
FileSize : 52 KB
FileVersion : 5.00.2004.0
ProductVersion : 5.00.2004.0
CompanyName : Microsoft
FileDescription : Microsoft
InternalName : WkCalRem
OriginalFilename : WKCALREM.EXE
ProductName : Microsoft
Created on : 06.08.1999 07:53:00
Last accessed : 19.01.2005 23:00:00
Last modified : 06.08.1999 07:53:00

#:21 [wmiexe.exe]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294062459
Threads : 3
Priority : Normal
FileSize : 16 KB
FileVersion : 4.90.2452.1
ProductVersion : 4.90.2452.1
Copyright : Copyright (C) Microsoft Corp. 1981-1999
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
OriginalFilename : wmiexe.exe
ProductName : Microsoft(R) Windows(R) Millennium Operating System
Created on : 01.01.1601
Last accessed : 19.01.2005 23:00:00
Last modified : 08.06.2000 16:00:00

#:22 [ad-aware.exe]
FilePath : C:\PROGRAMME\LAVASOFT\AD-AWARE 6\
ProcessID : 4294810927
Threads : 2
Priority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 13.01.2005 17:17:28
Last accessed : 19.01.2005 23:00:00
Last modified : 12.07.2003 20:00:20

Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Alexa Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}


Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1


Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css"

CoolWebSearch Object recognized!
Type : CSS Hijack
Data : c:\windows\my.css
CSS Hijack : SOFTWARE\Microsoft\Internet Explorer\Styles\c:\windows\my.css

Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css"
Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css"
Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css"
Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css"
Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css"

Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 2


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Deep scanning and examining files (C
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 2


14:01:32 Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:05:32:960
Objects scanned :36973
Objects identified :2
Objects ignored :0
New objects :2
---------------------------------------------------------------------------
und hier das Log von Hijack this:

Logfile of HijackThis v1.98.2
Scan saved at 14:04:58, on 20.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\PCLETRAY.EXE
C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\IWCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\EIGENE DATEIEN\DANIEL\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Cat's Claw] C:\VIRUSC~1\WIN95\Claw95.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\SYSTEM\PSDrvCheck.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\RunServices: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\RunServices: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\RunServices: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .ica: C:\PROGRA~1\INTERN~1\PLUGINS\NPICAN.DLL
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

---------------------------------------------------------------------------
Bei Search & Destroy und bei CWSHREDDER weiß ich nicht wie man ein Log erstellt, aber ich hoffe die obigen Logs reichen aus.

Wäre super nett, wenn Du über die Logs hier auch noch mal gucken könntest, damit ich weiß, ob der Rechner jetzt in Ordnung ist.

MfG,

badman

#238 Hallo@Badman

Suche und loesche:
SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css"

(oder kopiere es in die killbox)
c:\windows\my.css

dann scanne noch mal mit AdAware

und stelle im IE eine Startseite ein + poste auch das Log vom HijackThis noch einmal (mit einer Startseite)
__________
MfG Sabina

rund um die PC-Sicherheit

#239 Hallo Sabina,
weiss leider nicht wie ich kavupd.exe (update in dos) mache, wenn du so lieb wärst und mir das auch noch verraten würdest.

den Escan im abgesicherten Modus habe ich laufen lassen, und hier sind die Daten die Du von mir haben wolltest............
( da ich den scan zwei mal gemacht habe könnte es sein das ich es jetzt doppelt gepostet habe)
...........hoffe du kannst damit was anfangen

Thu Jan 20 17:01:36 2005 => Total Disinfected Files: 0

Thu Jan 20 11:39:00 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 11:39:11 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 11:55:45 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\dolphinfree.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Thu Jan 20 11:59:14 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\PuritySCAN2.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.

Thu Jan 20 12:16:38 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Thu Jan 20 12:33:06 2005 => File C:\Programme\Gemeinsame Dateien\aol\AOL Privacy Protection\Backup\63396717.asw infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:02:23 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032112.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:02:23 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032113.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:02:23 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032116.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:02:25 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-6.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:02:25 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-7.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:02:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032129.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:02:54 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032350.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032401.lnk

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032402.lnk

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032403.lnk

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.1

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.2

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.3

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.4

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.5

Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.6

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.7

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\drivetable.txt

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\RestorePointSize

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\rp.log

Thu Jan 20 13:03:21 2005 => Scanning Folder: C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\*.*

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\ComDb.Dat

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\domain.txt

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-1.DAT [**]

Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-3.DAT

Thu Jan 20 13:03:21 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-3.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:16:52 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:36:55 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 13:46:45 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 14:05:23 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 14:05:52 2005 => Total Disinfected Files: 0

Thu Jan 20 14:36:46 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 14:36:57 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 14:53:15 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\dolphinfree.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Thu Jan 20 14:56:55 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\PuritySCAN2.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.

Thu Jan 20 14:56:55 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\PuritySCAN2.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:30:30 2005 => File C:\Programme\Gemeinsame Dateien\aol\AOL Privacy Protection\Backup\63396717.asw infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032112.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032113.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032116.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:29 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-5.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:29 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-6.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:29 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-7.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:30 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032129.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 15:59:56 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032350.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:00:22 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-3.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:13:29 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:32:40 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 16:42:25 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Jan 20 17:01:05 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Jan 20 17:01:36 2005 => Total Disinfected Files: 0

#240 Hallo Leute,
nach 2 Stunden Studium in diesem Thread, brennen mir schon die Augen vor lauter Hijackthis-logs. Leider hat *TR/Dldr.Small.OR* auch in meiner *Explorer.cab...start7.inf* eingeschlagen und kann gemäß AntiVir nicht entfernt werden (Archiv-Datei, blablabla).
Habe aber keine Ahnung, wie man eine Log-Datei von Hijackthis deutet, bin auf dem Gebiet absoluter Neuling. Deshalb wäre ich glücklich, ein Experte aus diesem Forum kann mir weiterhelfen.

Also hier die Log-Datei:

Logfile of HijackThis v1.99.0
Scan saved at 22:28:15, on 20.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRAMME\AV\AVGUARD.EXE
F:\PROGRAMME\AV\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\System32\wuacrlt.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
F:\programme\quicktime\qttask.exe
C:\socks.exe
C:\WINDOWS\socks2.exe
F:\PROGRAMME\AV\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\wuauclt.exe
F:\PROGRAMME\hijack\HijackThis.exe
C:\WINDOWS\notepad.exe
F:\PROGRAMME\Office2000\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.walking-online.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [*windows update] wuacrlt.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\wbdvux.exe
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [TruGEUg] C:\WINDOWS\msjwt.exe
O4 - HKLM\..\Run: [nvsv32.exe] nvsv33.exe
O4 - HKLM\..\Run: [Windows Online Updater] dllman.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [winmgr.exe] scvhost.exe
O4 - HKLM\..\Run: [start uploading] crsss.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\Run: [Notepad] notepad.exe
O4 - HKLM\..\Run: [NvCplScan] msnmsgr.exe
O4 - HKLM\..\Run: [Services] C:\socks.exe
O4 - HKLM\..\Run: [Device] C:\WINDOWS\socks2.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\PROGRAMME\AV\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [*windows update] wuacrlt.exe
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\RunServices: [start uploading] crsss.exe
O4 - HKLM\..\RunServices: [nvsv32.exe] nvsv33.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe
O4 - HKLM\..\RunServices: [winmgr.exe] scvhost.exe
O4 - HKLM\..\RunServices: [Notepad] notepad.exe
O4 - HKLM\..\RunServices: [NvCplScan] msnmsgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [*windows update] wuacrlt.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\RunServices: [start uploading] crsss.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\PROGRAMME\Office2000\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0006F063-0000-0000-C000-000000000046} (Microsoft Outlook View Control) - file://G:\KAP06\Setup01\outlctlx.cab
O16 - DPF: {0468C085-CA5B-11D0-AF08-00609797F0E0} (DataCtl Class) - file://G:\KAP06\Setup01\outlctlx.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?xdat=&url=http://66.117.38.54:80/dexDE505.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/fox/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c11.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105401152553
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O21 - SSODL: System - {6A786433-6D61-41A6-9AEA-8240018EEB3B} - C:\WINDOWS\system32\system32.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\PROGRAMME\AV\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\PROGRAMME\AV\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Anmerkung: Das Service-Pack 2 für Win XP und einige Updates wurden wieder deinstalliert, da die Desktop-Anzeige/Task-Startleiste nicht mehr funktionierten.

Danke schon mal im voraus