"msbb.exe" HILFE!! werde es nicht mehr los. |
||
---|---|---|
#0
| ||
30.09.2004, 17:08
...neu hier
Beiträge: 5 |
||
|
||
30.09.2004, 17:26
Member
Beiträge: 48 |
#2
Im Log taucht die .exe aber gar nicht auf.
Versuche, Synchro-Ad und Gator unter Software zu deinstallieren. Überprüfe: C:\WINDOWS\System32\gakxcb.exe hier: http://virusscan.jotti.dhs.org/ Ergebnis? E-Scan herunterladen und updaten: http://www.trojaner-info.de/hijacker/escan.shtml Ab jetzt den IE NICHT mehr öffnen, Systemwiederherstellung deaktivieren: http://www.bsi.de/av/texte/wiederher_xp.htm Diese Prozesse per Taskmanager beenden: C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [beomkj] C:\WINDOWS\System32\gakxcb.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287 d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5 355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631 Boote in den abgesicherten Modus: http://www.bsi.bund.de/av/texte/winsave.htm lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
|
|
||
30.09.2004, 19:31
...neu hier
Themenstarter Beiträge: 5 |
#3
hi,
habe deinen anweisungen gefolgt; Zitat Versuche, Synchro-Ad und Gator unter Software zu deinstallieren.- unter Software nicht vorhanden. Zitat Überprüfe:- auch nicht vorhanden. E-Scan herunterladen und updaten: Zitat - doneDiese Prozesse per Taskmanager beenden: C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Zitat - doneMit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [beomkj] C:\WINDOWS\System32\gakxcb.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287 d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5 355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631 Zitat - doneBoote in den abgesicherten Modus: http://www.bsi.bund.de/av/texte/winsave.htm lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. Zitat - done |
|
|
||
01.10.2004, 01:40
Member
Beiträge: 48 |
#4
Welche Schädlingen wurden denn von E-Scan genau gefunden?
|
|
|
||
01.10.2004, 17:15
...neu hier
Themenstarter Beiträge: 5 |
#5
hmm. das logfile von e-scan ist unedlich lang.
ich habe auch keine auflistung gefunden welche viren er auch jetzt gefunden hat, nur halt die anzahl. hier einauszug; Thu Sep 30 17:51:50 2004 => ********************************************************** Thu Sep 30 17:51:50 2004 => eScan AntiVirus Toolkit Utility. Thu Sep 30 17:51:50 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Thu Sep 30 17:51:50 2004 => ********************************************************** Thu Sep 30 17:51:50 2004 => Version 4.4.7 Thu Sep 30 17:51:50 2004 => Log File: C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwav.log Thu Sep 30 17:51:50 2004 => Latest Date of files inside MWAV: 29 Sep 2004 02:01:35. Thu Sep 30 17:51:51 2004 => AV Library Loaded... Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.exe Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\Getvlist.exe Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.dll Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssdi.dll Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssi.dll Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavvlg.dll Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\msvlclnt.dll Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\ipc.dll Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\main.avi Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\virus.avi Thu Sep 30 17:51:51 2004 => Virus Database Date: 2004/09/29 Thu Sep 30 17:51:51 2004 => Virus Database Count: 104521 Thu Sep 30 17:54:03 2004 => AV Library Unloaded (3)... Thu Sep 30 17:54:13 2004 => ********************************************************** Thu Sep 30 17:54:13 2004 => eScan AntiVirus Toolkit Utility. Thu Sep 30 17:54:13 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Thu Sep 30 17:54:13 2004 => ********************************************************** Thu Sep 30 17:54:13 2004 => Version 4.4.7 Thu Sep 30 17:54:13 2004 => Log File: C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwav.log Thu Sep 30 17:54:13 2004 => Latest Date of files inside MWAV: 29 Sep 2004 02:01:35. Thu Sep 30 17:54:13 2004 => AV Library Loaded... Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.exe Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\Getvlist.exe Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.dll Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssdi.dll Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssi.dll Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavvlg.dll Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\msvlclnt.dll Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\ipc.dll Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\main.avi Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\virus.avi Thu Sep 30 17:54:13 2004 => Virus Database Date: 2004/09/29 Thu Sep 30 17:54:13 2004 => Virus Database Count: 104521 Thu Sep 30 17:54:23 2004 => ********************************************************** Thu Sep 30 17:54:23 2004 => eScan AntiVirus Toolkit Utility. Thu Sep 30 17:54:23 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc. Thu Sep 30 17:54:23 2004 => Thu Sep 30 17:54:23 2004 => Support: support@mwti.net Thu Sep 30 17:54:23 2004 => Web: http://www.mwti.net Thu Sep 30 17:54:23 2004 => ********************************************************** Thu Sep 30 17:54:23 2004 => Version 4.4.7 Thu Sep 30 17:54:23 2004 => Log File: C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwav.log Thu Sep 30 17:54:23 2004 => Latest Date of files inside MWAV: 29 Sep 2004 02:01:35. Thu Sep 30 17:54:23 2004 => Options Selected by User: Thu Sep 30 17:54:23 2004 => Memory Check: Enabled Thu Sep 30 17:54:23 2004 => Registry Check: Enabled Thu Sep 30 17:54:23 2004 => StartUp Folder Check: Enabled Thu Sep 30 17:54:23 2004 => System Folder Check: Enabled Thu Sep 30 17:54:23 2004 => System Area Check: Disabled Thu Sep 30 17:54:23 2004 => Services Check: Enabled Thu Sep 30 17:54:23 2004 => Drive Check: Disabled Thu Sep 30 17:54:23 2004 => All Drive Check :Enabled Thu Sep 30 17:54:23 2004 => Scanning Type: Scan And Clean Thu Sep 30 17:54:23 2004 => Folder Check: Disabled Thu Sep 30 17:54:23 2004 => ***** Scanning Memory Files ***** Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\services.exe Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\lsass.exe Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\Ati2evxx.exe Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\svchost.exe Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\svchost.exe Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe Thu Sep 30 17:54:23 2004 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE Thu Sep 30 17:54:23 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\CTSvcCDA.EXE Thu Sep 30 17:54:23 2004 => Scanning File C:\PROGRA~1\EXECUT~1\DISKEE~1\DKSERV~1.EXE Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\svchost.exe Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\MsPMSPSv.exe Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~1\Intel\INTEL(~1\imonnt.exe Thu Sep 30 17:54:24 2004 => Scanning File C:\WINDOWS\system32\Ati2evxx.exe Thu Sep 30 17:54:24 2004 => Scanning File C:\WINDOWS\Explorer.EXE Thu Sep 30 17:54:24 2004 => Scanning File C:\WINDOWS\System32\CTHELPER.EXE Thu Sep 30 17:54:24 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~1\Intel\INTEL(~1\imontray.exe Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~1\ATITEC~1\ATICON~1\atiptaxx.exe Thu Sep 30 17:54:24 2004 => Scanning File C:\Programme\QuickTime\qttask.exe Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~2\WINDOW~1\SyncroAd.exe Thu Sep 30 17:54:24 2004 => Process C:\Program Files\Windows SyncroAd\SyncroAd.exe Found running in Memory... Thu Sep 30 17:54:24 2004 => *** Killing Infected Process C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:25 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:26 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:27 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:29 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:30 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:31 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:32 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:33 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:34 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:35 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe... Thu Sep 30 17:54:35 2004 => *** Unable to kill process :-( Virus still in memory! Thu Sep 30 17:54:35 2004 => File C:\PROGRA~2\WINDOW~1\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed. Thu Sep 30 17:54:35 2004 => Scanning File C:\WINDOWS\System32\ctfmon.exe Thu Sep 30 17:54:35 2004 => Scanning File C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE Thu Sep 30 17:54:35 2004 => Scanning File C:\PROGRA~2\WINDOW~1\WinSync.exe Thu Sep 30 17:54:35 2004 => Process C:\Program Files\Windows SyncroAd\WinSync.exe Found running in Memory... Thu Sep 30 17:54:35 2004 => *** Killing Infected Process C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:36 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:38 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:39 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:40 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:41 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:42 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:43 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:44 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:45 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:46 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe... Thu Sep 30 17:54:46 2004 => *** Unable to kill process :-( Virus still in memory! Thu Sep 30 17:54:46 2004 => File C:\PROGRA~2\WINDOW~1\WinSync.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed. Thu Sep 30 17:54:46 2004 => Scanning File C:\PROGRA~1\GEMEIN~1\GMT\GMT.exe Thu Sep 30 17:54:47 2004 => Scanning File F:\SoftWare\hijackthis_198\HijackThis.exe Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\notepad.exe Thu Sep 30 17:54:47 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwavscan.com Thu Sep 30 17:54:47 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.exe Thu Sep 30 17:54:47 2004 => ***** Scanning Registry Files ***** Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Thu Sep 30 17:54:47 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction *** Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**] Thu Sep 30 17:54:47 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction *** Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**] Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\webcheck.dll Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\stobject.dll Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects Thu Sep 30 17:54:47 2004 => {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} = C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL Thu Sep 30 17:54:47 2004 => ERROR!!! Invalid Entry = C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL. Removing it. Thu Sep 30 17:54:47 2004 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~2\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.OCX Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\Explorer.exe Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\userinit.exe Thu Sep 30 17:54:47 2004 => Scanning HKCU\Control Panel\Desktop Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\logon.scr Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\GEMEIN~1\Real\UPDATE~1\REALSC~1.EXE Thu Sep 30 17:54:47 2004 => ERROR!!! Invalid Entry farstone = NULL. Removing it. Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\REGSVR32.EXE Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\Creative\SBDRIV~1\SBDrvDet.exe Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\UpdReg.EXE Thu Sep 30 17:54:47 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\dumprep.exe Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\Intel\INTEL(~1\imontray.exe Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\ATITEC~1\ATICON~1\atiptaxx.exe Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\PSDrvCheck.exe Thu Sep 30 17:54:48 2004 => Scanning File C:\Programme\QuickTime\qttask.exe Thu Sep 30 17:54:48 2004 => C:\PROGRA~2\WINDOW~1\SYNCRO~1.MWT File already Scanned once... not able to clean. Thu Sep 30 17:54:48 2004 => Scanning File C:\PROGRA~2\WINDOW~1\SYNCRO~1.MWT [**] Thu Sep 30 17:54:48 2004 => ERROR!!! Invalid Entry beomkj = C:\WINDOWS\System32\gakxcb.exe. Removing it. Thu Sep 30 17:54:48 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Thu Sep 30 17:54:48 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Thu Sep 30 17:54:48 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Thu Sep 30 17:54:48 2004 => Scanning File C:\WINDOWS\System32\ctfmon.exe Thu Sep 30 17:54:48 2004 => Scanning File C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Thu Sep 30 17:54:48 2004 => Scanning HKCR\txtfile\shell\open\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\comfile\shell\open\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\exefile\shell\open\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\dllfile\shell\open\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\batfile\shell\open\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\piffile\shell\open\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\scrfile\shell\open\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\scrfile\shell\config\command Thu Sep 30 17:54:48 2004 => Scanning HKCR\regfile\shell\open\command Dieser Beitrag wurde am 01.10.2004 um 17:41 Uhr von lyon35 editiert.
|
|
|
||
01.10.2004, 20:01
Member
Beiträge: 441 |
#6
@ lyon35
Dein Auszug aus der mwav.log ist belanglos! Zitat hmm. das logfile von e-scan ist unedlich lang.Du resignierst vor der Länge des Logs, respekt. Es kann doch nicht so schwer sein, das man sein Log durchsucht: Öffne die mwav.log -> Bearbeiten -> Suchen -> Files Renamed oder Deleted Files eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. So verfährst du mit allen 34 Files Renamed und 7 Deleted Files. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
01.10.2004, 23:27
...neu hier
Themenstarter Beiträge: 5 |
#7
@cidre
ok hab mir die Zeit genommen, hier die Auswertung; Files Renamed : 1x infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed 2x infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed 1x infected by "not-a-virus:AdvWare.BargainBuddy.i" Virus. Action Taken: File Renamed 1x infected by "not-a-virus:AdvWare.Toolbar.MyWay.e" Virus. Action Taken: File Renamed 1x infected by "not-a-virus:AdvWare.Toolbar.MyWay.b" Virus. Action Taken: File Renamed 2x infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed 1x infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Renamed 4x infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed 1x infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed 23x infected by "BkCln.Unknown" Virus. Action Taken: File Renamed Deleted: 5x infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: File Deleted 1x infected by "Trojan.Java.StartPage.g" Virus. Action Taken: File Deleted 1x infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted welche rückschlüssen kann man jetzt daraus ziehen..? bin ich mein msbb.exe für immer los..? (taucht aufjedenfall seit 2 Tagen nicht mehr auf) Dieser Beitrag wurde am 02.10.2004 um 12:59 Uhr von lyon35 editiert.
|
|
|
||
05.10.2004, 20:43
...neu hier
Beiträge: 3 |
#8
Hi@all
Hab seit Sonntag nur sch... Spyware probs. Habe das prog "web rebates mehrmals deinstalliert und alle Dateien wieder vom sys gelöscht. (aus den ordnern: temp, System32, windows, Programme-->Ordner "web_rebates"......) mit Spybot S&D, Ad-Aware Pro gescannt, progs aus dem Speicher gelöscht. Bis mir erst eingefallen ist, dass "SyncroAd.exe" Spyware ist, nun gut hab ich das auch noch deinstalliert und wieder gescannt. Könnt ihr euch mal meinen log ansehen: Logfile of HijackThis v1.98.2 Scan saved at 20:43:35, on 05.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\CpuIdle\cpuidle.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\GRANTU~1\LOKALE~1\Temp\Rar$EX14.500\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pagefirst.netfirms.com/od O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\checker.exe /check" O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093009920953 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{245100FA-1D96-4F33-AD48-DE51CE98F210}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A1494D19-5D79-4F1B-A525-AAB621642C52}: NameServer = 217.237.150.97 217.237.149.161 O17 - HKLM\System\CCS\Services\Tcpip\..\{A2AC5544-246F-4506-884D-CBC2329D863F}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{245100FA-1D96-4F33-AD48-DE51CE98F210}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{245100FA-1D96-4F33-AD48-DE51CE98F210}: NameServer = 192.168.120.252,192.168.120.253 |
|
|
||
05.10.2004, 23:11
Member
Beiträge: 441 |
#9
@ Chris1983
Das Log-File sieht sauber aus. Zur Sicherheit kannst du, wie hier beschrieben, eScan anwenden: http://www.trojaner-board.de/showpost.php?p=76058&postcount=5 Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten: - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 05.10.2004 um 23:15 Uhr von Cidre editiert.
|
|
|
||
07.10.2004, 11:56
...neu hier
Themenstarter Beiträge: 5 |
#10
@cidre
Hallo, ich habe eigentlich noch auf ein Kommentar von dir zu meiner Auswertung erwartet...??? |
|
|
||
07.10.2004, 21:35
...neu hier
Beiträge: 3 |
#11
@Cidre
Dank dir für die Tipps. Hab alle Punkte wie auf den Seiten beschrieben abgearbeitet. Hab jedoch wieder zwei neue Probs.. 1. Probl. Unter C:\Program Files\ hab ich den Ordner "WindUpdates" gefunden. Darin befindet sich eine Datei namens "Comm.dll", sowie auch eine txt.-Datei, in der beschrieben steht, wie man "WindUpdates"-Software deinstalliert. Darf die "Comm.dll" gelöscht, sowie der Ordner "WindUpdates" gelöscht werden?? Hab bisher nie in den Ordner reingekuckt, dachte er gehöre zum OS. Der Ordner befindet sich schon auf meinem System seitdem ich im August die Kiste plattgemacht habe und Windows XP neuinstalliert hab. Scanne meinen Rechner immer mit Ad-Aware 6 Pro und Spybot S&D 1.3 -die Programme hatten nie etwas gefunden. 2. Probl. Hab im Abgesicherten Modus escan laufen gelassen und er hat im Verzeichnis C:\RECYCLER\nprotect mehrere Viren gefunden. Jedoch wenn ich windows im normalen Modus scanne, ist der Ordner "nprotect" nicht vorhanden und escan findet auch keine Viren. M.b.G. Chris |
|
|
||
07.10.2004, 23:35
Member
Beiträge: 441 |
#12
@ lyon35
Das dieser TrojanDownloader.Win32.Keenval.f etliche Adware nachgeladen hat. Behebung und Vorbeugung dieses Problems für die Zukunft: Zitat Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten: __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
07.10.2004, 23:44
Member
Beiträge: 441 |
#13
@ Chris1983
Zu 1: Kompletten Ordner C:\Program Files\WindUpdates löschen. Blazefind Adware Verlasse dich nicht nur auf deine Sicherheitsprogramme. Mit dem Browserwechsel hast du den ersten Schritt zur Sicherheit vollzogen. Zu2: Gehört zu Norton und ist der erweiterte Papierkorb, siehe http://www.frankn.com/html/nprotect_exe.php Entweder im Norton Konfigurationsmenü leeren oder manuell löschen: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Lesenswerte Lektüre: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
10.10.2004, 20:02
...neu hier
Beiträge: 3 |
#14
@Cidre
Dank dir vielmals. Hab jetzt nochmals mit escan gescannt und er hat nichts mehr gefunden. M.b.G. Chris |
|
|
||
seit einigen Tagen taucht beimir dieser msbb.exe auf.
Weder mit AV Guard noch mit Adaware kann ich es los werden.
please help..!
hier schon vorab mein Hijacklog.
Logfile of HijackThis v1.98.2
Scan saved at 17:05:09, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
F:\SoftWare\hijackthis_198\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [farstone] NULL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IMONTRAY] C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [beomkj] C:\WINDOWS\System32\gakxcb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096297396921
O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - http://www.pixelnet.de/upload/pixelnet_de_bilduebertragung.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D0C59F-8662-4122-BDB7-D2A0A5183822}: NameServer = 192.168.1.1