qqccbgao.dll mit Trojan StartPage entfernen |
||
---|---|---|
#0
| ||
01.10.2004, 02:09
...neu hier
Beiträge: 6 |
||
|
||
01.10.2004, 10:47
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @waxweazle
Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank neustarten #.FindnFix: http://www10.brinkster.com/expl0iter/freeatlast/FNF/ 1. Entpacken 2. !LOG!.BAT anklicken 3. Log(log.txt) abkopieren und posten (poste aber keine Admin-Angaben vom PC) ____________________________________________________ # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus) #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #Start<Ausfuehren<cmd (reinkopieren) regsvr32 /u c:\system32\qqccbgao.dll <enter< Start<Ausfuehren<cmd (reinkopieren) attrib -h %systemroot%\system32\qqccbgao.dll & ren %systemroot%\system32\qqccbgao.dll Badfile.bad <enter< < PC neustarten (in den abgesicherten Modus gehen) <die "qqccbgao.dll" im abgesicherten Modus umbenennen in "qqccbgao.dl" und loeschen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.10.2004 um 10:58 Uhr von Sabina editiert.
|
|
|
||
01.10.2004, 11:25
...neu hier
Themenstarter Beiträge: 6 |
#3
so hier der log file vom FindnFix:
Fri 01 Oct 04 11:15:32 »»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»» *System: Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600) *IE version: 6.0.2800.1106 SP1-Q330994-Q823802-Q824145-Q824463-Q826940-Q827057-Q831167-Q832894 MS-DOS Version 5.00.500 *command.com test passed! __________________________________ !!*Creating backups...!! The operation completed successfully 11:15:32,43 01.10.2004 __________________________________ *Local time: Freitag, 1. Oktober 2004 (01.10.2004) 11:15, Westeuropäische Sommerzeit *Uptime: 11:15:33 up 0 days, 0:03:15 *Path: C:\FINDnFIX ---------------------------------------------------- »»Member of...: ("ADMIN" logon + group match required!) !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Running in WORKSTATION MODE. SystemDrive is C: SystemRoot is C:\WINDOWS »»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. Ex: read only files, s/h files, last modified date. size, etc. The filters provided and registry scan should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder ______________________________________________________________________________ ***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!*** ______________________________________________________________________________ ......Scanning for file(s)... *Note! The list(s) may include legitimate files! »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»» (*1*) »»»»» ......... »»Read access error(s)... C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL +++ File read error \\?\C:\WINDOWS\System32\QQCCBGAO.DLL +++ File read error »»»»» (*2*) »»»»»........ QQCCBGAO.DLL Can't Open! »»»»» (*3*) »»»»»........ No matches found. unknown/hidden files... No matches found. »»»»» (*4*) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»»»(*5*)»»»»» ¯ Access denied ® ..................... QQCCBGAO.DLL .....68096 17.09.2004 »»»»»(*6*)»»»»» fgrep: can't open input C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»»Search by size... *List of files and specs according to 'size' : *Note: Not all files listed here are infected, but *may include* the name and spces of the offending file... ___________________________________________________________________________ Path: C:\WINDOWS\SYSTEM32 Including: *.DLL ____________________________________________________________________________ *By size and date... No matches found. No matches found. No matches found. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» BHO search and other files... fgrep: can't open input C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL No matches found. No matches found. --*sp.html in temp folder was NOT FOUND!-- *Filter keys search... REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2) --(*text/html Subkey was NOT FOUND!)-- REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2) --(*text/plain Subkey was NOT FOUND!)-- »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»Size of Windows key: (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450 »»Checking for AppInit_DLLs (empty) value... ________________________________ !"AppInit_DLLs"=""! Value Matches ________________________________ »»Comparing *saved* key with *original*... REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com) Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows). No differences found. »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (NI) ALLOW Read VORDEFINIERT\Benutzer (IO) ALLOW Read VORDEFINIERT\Benutzer (NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access VORDEFINIERT\Administratoren (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Read VORDEFINIERT\Hauptbenutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM »»Performing string scan.... 00001150: ? 00001190: vk f AppInit_ 000011D0LLs G vk UDeviceNotSelectedTimeout 00001210: 1 5 _ 9 0 x, vk ' zGDIProce 00001250:ssHandleQuota" vk Spooler2 y e s h 00001290: 0 ` vk =pswapdisk vk 000012D0: R TransmissionRetryTimeout 0 ` 00001310: vk ' USERProcessHandleQuota 00001350: 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖæG -------------- -------------- $011C8: AppInit_DLLs $011F7: UDeviceNotSelectedTimeout $01247: zGDIProcessHandleQuota $012E0: TransmissionRetryTimeout $01330: USERProcessHandleQuota -------------- -------------- No strings found. -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ............. A handle was successfully obtained for the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key. This key has 0 subkeys. The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination. [AppInitDLLs] Ansi string : "" 0000 00 00 | .. ----------------------- »»»»»»Backups list...»»»»»» 11:16:49 up 0 days, 0:04:30 ----------------------- Fri 01 Oct 04 11:16:49 C:\FINDNFIX\ keyback.hiv Fri 1 Oct 2004 11:15:34 A.... 8.192 8,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 8.192 bytes 8,00 K C:\FINDNFIX\KEYS1\ winkey.reg Fri 1 Oct 2004 11:15:34 A.... 287 0,28 K 1 item found: 1 file, 0 directories. Total of file sizes: 287 bytes 0,28 K *Temp backups... "C:\Dokumente und Einstellungen\RTC\Lokale Einstellungen\Temp\Backs2\" keyback2.hi_ 1 Oct 2004 8192 "keyback2.hi_" winkey2.re_ 1 Oct 2004 287 "winkey2.re_" 2 items found: 2 files, 0 directories. Total of file sizes: 8.479 bytes 8,28 K -D---- JUNKXXX 00000000 11:15.34 01/10/2004 A----- STARTIT .BAT 00000060 11:15.34 01/10/2004 ________________________________________________________________________________ ***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)' AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS! MINIMAL REQUIREMENTS INCLUDE: _________XP HOME/PRO; SP1; IE6/SP1 _________2K/SP4; IE6/SP1 ________________________________________________________________________________ »»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»» -----END------ Fri 01 Oct 04 11:16:50 So kleine Zusammenfassung der Ereignisse: Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank neustarten erledigt #.FindnFix: logfile siehe oben # AboutBuster & #CWShredder 1.59 Scans ergaben keine Funde #Start<Ausfuehren<cmd (reinkopieren) regsvr32 /u c:\windows\system32\qqccbgao.dll <enter< Start<Ausfuehren<cmd (reinkopieren) attrib -h %systemroot%\system32\qqccbgao.dll & ren %systemroot%\system32\qqccbgao.dll Badfile.bad <enter< beidesmal wurde mir der zugriff verweigert <die "qqccbgao.dll" im abgesicherten Modus umbenennen in "qqccbgao.dl" und loeschen. ich kann die Datei zwar umbenennen, jedoch erscheint bei jedem umbenennen wieder eine neue qqccbgao.dll Datei Dieser Beitrag wurde am 01.10.2004 um 11:54 Uhr von waxweazle editiert.
|
|
|
||
01.10.2004, 11:52
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @waxweazle
Ja, es ist wirklich die C:\WINDOWS\SYSTEM32\QQCCBGAO.DLL Arbeite nun die anderen Punkte ab #Start<Ausfuehren<cmd (reinkopieren) regsvr32 /u c:\system32\qqccbgao.dll <enter< Start<Ausfuehren<cmd (reinkopieren) attrib -h %systemroot%\system32\qqccbgao.dll & ren %systemroot%\system32\qqccbgao.dll Badfile.bad <enter< < PC neustarten (in den abgesicherten Modus gehen) <die "qqccbgao.dll" im abgesicherten Modus umbenennen in "qqccbgao.dl" und loeschen. ________________________________________________________________ Dann berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.10.2004 um 11:54 Uhr von Sabina editiert.
|
|
|
||
01.10.2004, 11:56
...neu hier
Themenstarter Beiträge: 6 |
#5
siehe ende letzter post
im cmd fenster wird mir der zugriff verweigert und beim umbenennen im abgesicherten Modus entsteht jedesmal eine neue "qqccbgao.dll" Datei |
|
|
||
01.10.2004, 12:22
Moderator
Beiträge: 7805 |
||
|
||
01.10.2004, 12:59
...neu hier
Themenstarter Beiträge: 6 |
#7
nein das hat auch nich geklappt... habe dir eine mail geschickt
|
|
|
||
01.10.2004, 13:38
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo @waxweazle
Entschuldige bitte, aber ich hatte deinen Thread nicht bis zu Ende gelesen... Versuche folgendes: #Gehe mal bitte in die Registry Start<Ausfuehren<regedit: --««navegiere zu folgendem Schluessel: #[HKEY_LOCAL_MACHINE/Software/Classes/CLSIDClick Edit Find--«««Find what" box dort muesste nun die <qqccbgao.dll< des Backdoors eingegeben werden nun musste die <qqccbgao.dll < unter folgenden Schlussel erscheinen: #HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>}\InProcServer32 Jetzt, wo du in der Registry die "clsid" , die zu <qqccbgao.dll< gehoert kennst, kannst du alle Eintraege suchen und loeschen zum Beispiel: #HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{<zufaellige clsid>} #HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion \Explorer/Browser Helper Objects/{<zufaellige clsid>} #HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Explorer/ShellIconOverlayIdentifiers/qqccbgao ..... ... .. . schliesse die Registry und starte den PC neu. Dann versuche noch einmal die dll umzubenennen und zu loeschen (im abges.Modus) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.10.2004 um 13:42 Uhr von Sabina editiert.
|
|
|
||
01.10.2004, 15:09
...neu hier
Themenstarter Beiträge: 6 |
#9
also wenn ich in der Registry nach der qqccbgao.dll Datei suche findert regedit Einträge in folgenden Schlüsseln:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pnpsvc\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters HKEY_USERS\S-1-5-21-436374069-823518204-682003330-1003\Software\Microsoft\SearchAssistant\ACMru\5603 Wenn ich in der Suchmaske nur Schlüssel anklicke findet er keinen Eintrag zu der Datei. Also wie nun weiter ??? PS: schon mal vielen Dank für die Mühe die Ihr euch macht !!! |
|
|
||
01.10.2004, 15:24
Ehrenmitglied
Beiträge: 29434 |
#10
Lade :Reglite
http://www.resplendence.com/reglite kopiere in die: address bar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters\\ServiceDll Double Click ServiceDll on the Right Hand side section In the Value field---ist es die "qqccbgao.dll" (?) _______________________________________________________________________________________ 1.Variante: Versuch mal den Dienst (Systemsteuerung/Verwaltung/Dienste) Oder Start ausführen/services.msc pnpsvc zu finden Stellt dann mal auf deaktiviert und starte den Rechner neu. Schau ob der Dienst gestartet wurde. Wenn nicht ist alles OK dann sollest du die DLL löschen können #loesche auchnpsvc.inf (pnpsvc.inf) Variante2: Leider habe ich die weiteren Anweisungen nur in Englisch: Download and save to Desktop pnpfix.zip http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=5231 (lade diese pnpfix.zip direkt von der Site) Extract the contents to desktop, but DON'T run in yet Open Hijackthis>>>Config>>>Misc Tools>>>Delete File on Reboot Copy and Paste c:\windows\system32\qqccbgao.dll into the file name field and press the open button RESTART your computer into Safe Mode When you restart, ensure that qqccbgao.dll no longer exists If it's been removed Double click on pnpfix.reg, when asked to merge say yes Open RegLite (oder direkt:Start<Ausfuehren<cmd < regedt32) Copy and paste each of the bolded lines into the Address field HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC At each location delete the highlighted LEGACY_PNPSVC. Do not delete any other entries If you have trouble deleting an entry Right-click the key and select Properties, click Take Ownership then click Permissions and select Full Control against Everyone. Apply and OK your way out, then right-click the key again and try and delete it. Exit out of Registrar lite and Restart back in Normal mode mfg Sabina http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=5231 http://board.protecus.de/t11469-3.htm __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.10.2004 um 16:06 Uhr von Sabina editiert.
|
|
|
||
01.10.2004, 16:41
...neu hier
Themenstarter Beiträge: 6 |
#11
zwar gingen die key einträge nicht zu löschen jedoch ist die Datei weg und NAV nervt nicht mehr rum...
vielen dank für die Hilfe... ich denke das einzig wichtige war nur, das Hijackthis die Datei beim starten löscht... grüße |
|
|
||
Ich habe über die Suchfunktion schon Themen zum Trojaner gefunden, jedoch noch keines der ein ähnliches Problem hat.
Seit kurzer Zeit meldet Norton AntiVirus einen Trojaner in der Datei c:\Windows\System32\qqccbgao.dll.
Diese Datei wird von irgendeinem Programm benutzt und kann somit in Windows selbst sowie im abgesicherten Modus nicht verändert werden.
Soll heißen, Norton findet die Datei, kann sie aber nicht reparieren bzw löschen. Wenn ich einen Full scan mache passiert logischerweise das selbe.
Nun die Frage, wie bekomme ich die Datei wieder clean ohne größere Systemwiederherstellungen vornehmen zu müssen?
Ich habe zum scannen auch schon viele andere Programme durchlaufen lassen die aber die Datei gar nicht als infiziert erkennen.
Auswahl der Programme war: AntiVir; Stinger; Ants2.1; SpyBot
Als weitere Information noch ein Hijackthis Log file :
Logfile of HijackThis v1.98.2
Scan saved at 01:51:27, on 01.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\BeClean\BeCleanA.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Creative\SBLive2k\Launcher\CTLauncher.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\kdx\KHost.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
D:\programme\steam\steam.exe
C:\Programme\Creative\SBLive2k\Launcher\TaskGuide\updtray.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
E:\Download\hijackthis_198\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BeClean Agent] C:\Programme\BeClean\BeCleanA.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Creative Launcher] C:\Programme\Creative\SBLive2k\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D50DE94-B860-4E36-AE2E-4C5E2BF87776}: NameServer = 192.168.0.1
Nun bitte um (schnelle) Hilfe