Qhosts.apd.trojan (die wievielte eigentlich schon?) |
||
---|---|---|
#0
| ||
01.10.2004, 23:16
...neu hier
Beiträge: 4 |
||
|
||
02.10.2004, 01:55
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @mathbau
Fixe: O4 - HKLM\..\Run: [Norton Updater] C:\windows\winset.exe O2 - BHO: (no name) - {33FB6728-BB66-7FBA-8756-17557CA62B4C} - C:\WINDOWS\System32\pgkvzrf.dll O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB (DIALER) O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx neustarten #Start<Ausfuehren<cmd (reinkopieren) regsvr32 /u C:\WINDOWS\System32\pgkvzrf.dll <enter #Oeffne Hijackthis>>>Config>>>Misc Tools>>>Delete File on Reboot kopiere rein: c:\windows\system32\pgkvzrf.dll into the file name field and press the open button <gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Loesche im abgesicherten Modus. C:\windows\winset.exe C:\WINDOWS\System32\pgkvzrf.dll (falls es noch da ist) #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K und scanne noch mal im abgesicherten Modus mit escan und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Gehe wieder in den Normalmodus und scanne noch mal. <Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde (denn der Dialer muss manuell geleoscht werden) und das neue Log vom HijackThis noch mal #deaktiviere die Wiederherstellung. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.10.2004 um 02:04 Uhr von Sabina editiert.
|
|
|
||
02.10.2004, 21:18
...neu hier
Themenstarter Beiträge: 4 |
#3
Grüß dich Sabina!
Erstmals danke für deine Antwort. Das mit den fixen hat alles geklappt. nur beim zweiten Schritt #Start<Ausfuehren<cmd (reinkopieren) regsvr32 /u C:\WINDOWS\System32\pgkvzrf.dll <enter kommt zur Antwort: ...fehlgeschlagen - das angegebene Modul wurde nicht gefunden beim dritten Schritt (Hijackthis starten) finde ich unter MiscTool keinen Befehl "delete file on reboot". Soll ich vielleicht unter "Backups" die entsprechende zeile löschen (da sind die vier dinger drin, die ich fixen sollte)? danke für die Antwort lg mathbau Dieser Beitrag wurde am 02.10.2004 um 23:06 Uhr von mathbau editiert.
|
|
|
||
03.10.2004, 00:43
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @mathbau
Also, du findest folgendes im HijackThis unter <MiscTools: "open proces manager "open hostfile manage "delete a file on reboot Dort klickst du drauf und dann kopierst du <pgkvzrf.dll< rein und startest neu Danach gehe in die Registry Start<Ausfuehren<regedit oben links ist die Suchfunktion dort gibst du ein gkvzrf.dll (pgkvzrf.dll) und loescht rechts in der Registry alle Eintraege von der dll. #scanne mit Escan und: Dann poste das Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.10.2004 um 00:45 Uhr von Sabina editiert.
|
|
|
||
03.10.2004, 18:27
...neu hier
Themenstarter Beiträge: 4 |
#5
Servus Sabina!
So bin jetzt fertig. War recht mühsam - meine Freundin hat nämlich auf ihren Laptop ein chinesisches Windows, musste immer jeden Schritt auf meinen Computer vormachen, damit ich weiß was ich tue - vergleichende Sprachwissenschaft in Reinkultur quasi ;-) Und das obwohl ich nicht einmal Chinesisch spreche. Wiedemsosei, escan hat nix mehr gefunden. Und HijackThis hat mir folgendes ausgespuckt: Logfile of HijackThis v1.98.2 Scan saved at 7:24:34, on 4/10/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Acer\Notebook Manager\almxptray.exe C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\PowerKey.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\OSD.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\Wbutton.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Documents and Settings\Ethel\®à±\HijackThis.exe F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ¦¬µ¾÷(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE Irgendwie hab ich ein gutes Gefühl. Bitte zerstör' meine Hoffnung nicht ;-) Danke nochmals für deine Mühen. Lg mathbau Dieser Beitrag wurde am 04.10.2004 um 01:39 Uhr von mathbau editiert.
|
|
|
||
04.10.2004, 12:45
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @mathbau
Hast du also die pgkvzrf.dll geloescht ? Wenn der eScan nichts mehr anzeigt, ist das ein gutes Zeichen. Das Log ist sauber Nun arbeite noch folgende Punkte ab: 0.Wiederherstellung deaktivieren (booten und wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 1.Aendere eventuell vorhandene nicht verschluesselte Passworte 2.Lade den Browser <Firefox< und surfe nur mit ihm http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe 3. Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.10.2004 um 12:46 Uhr von Sabina editiert.
|
|
|
||
05.10.2004, 12:05
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina!
Alle pgkvzrf.dll die ich gefunden habe, hab ich gnadenlos vernichtet. Und deine letzten Empfehlungen hab ich auch durchgeführt. Danke vielmals. Finde echt nett, dass du dir die Zeit nimmst wirren Computer-Laien unter die Arme zu greifen. Servus mathbau |
|
|
||
08.10.2004, 03:03
...neu hier
Beiträge: 4 |
#8
hallo!
hab das selbe problem...ich bekomme diese dinger einfach nicht von meinem pc... mein hijack-log sagt folgendes: Logfile of HijackThis v1.98.2 Scan saved at 02:43:13, on 08.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Meropi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" O4 - HKLM\..\Run: [SonicFocus] "C:\Programme\Sonic Focus\SFIGUI\SFIGUI.EXE" BOOT O4 - HKLM\..\Run: [farstone] NULL O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [Video Process] MSlti64.exe O4 - HKLM\..\Run: [NetWork] csrs.exe O4 - HKLM\..\Run: [Windows Configuration] wsys32.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\WinAmp\winampa.exe O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe O4 - HKLM\..\RunServices: [NetWork] csrs.exe O4 - HKLM\..\RunServices: [Windows Configuration] wsys32.exe O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097099457076 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab ich bitte um hilfe! lg, meropi |
|
|
||
08.10.2004, 07:45
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo @meropi
#Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung ____________________________________________________________________ Oeffne das HijackThis < scann < hake folgendes an <fix< neustarten: O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" O4 - HKLM\..\Run: [SonicFocus] "C:\Programme\Sonic Focus\SFIGUI\SFIGUI.EXE" BOOT O4 - HKLM\..\Run: [farstone] NULL O4 - HKLM\..\Run: [Video Process] MSlti64.exe O4 - HKLM\..\Run: [NetWork] csrs.exe O4 - HKLM\..\Run: [Windows Configuration] wsys32.exe O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe O4 - HKLM\..\RunServices: [NetWork] csrs.exe O4 - HKLM\..\RunServices: [Windows Configuration] wsys32.exe O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab neustarten #CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm deaktiviere deinen Virenscanner (hast du einen ?????) und lade: #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials Scanne im abgesicherten und im Normalmodus (!) <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Search&Destroy http://www.safer-networking.org/de/download/index.html #Deaktivieren Wiederherstellung XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Dann poste das Log vom HijackThis noch einmal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.10.2004 um 08:41 Uhr von Sabina editiert.
|
|
|
||
08.10.2004, 18:05
...neu hier
Beiträge: 4 |
#10
hallo sabina!
hier das hijack-log: Logfile of HijackThis v1.98.2 Scan saved at 17:56:59, on 08.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE D:\Programme\WinAmp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Meropi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing) O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [WinampAgent] D:\Programme\WinAmp\winampa.exe O4 - HKLM\..\Run: [Video Process] MSlti64.exe O4 - HKLM\..\Run: [NetWork] csrs.exe O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Anti-Virus Kav5.0\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe O4 - HKLM\..\RunServices: [NetWork] csrs.exe O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097099457076 hab alles gemacht, was du geschrieben hast. dabei treten zwei probleme auf: er fährt sich immer noch ständig runter. zweitens kann anitvirus 5.0 und der dos-scanner auf einige files nicth zugreifen. eines davon ist C:/WINDOWS/system32/csrs.exe. ich habe nun im systemstart folgendes deaktiviert: csrs.exe , mslti64.exe , msmsgs.exe , hkcmd.exe , ctfmon.exe. mein pc hat deswegen noch nichts komischen gemacht. hast du noch einen tipp für mich, was ich machen, um endlich diese dinger weg zu bekommen? vielen dank! lg, meropi Dieser Beitrag wurde am 08.10.2004 um 18:24 Uhr von meropi editiert.
|
|
|
||
09.10.2004, 00:44
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo @meropi
Dein PC ist kontinuierlich verseucht. Denke bitte ueber eine Neuinstallation nach..... #Deaktiviere die Wiederherstellung Fixe O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll (file missing) O4 - HKLM\..\Run: [Video Process] MSlti64.exe O4 - HKLM\..\Run: [NetWork] csrs.exe O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe O4 - HKLM\..\RunServices: [NetWork] csrs.exe O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe neustarten #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken und sich als Administrator anmelden) Gehe in die Registry Start<Ausfuehren<regedit Loesche rechts in der Registry folgende Eintraege (falls sie da sind: <HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svhost.exe <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run = svhost.exe <HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run = svhost.exe <HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run = svhost.exe <HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run = svhost.exe <HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run = svhost.exe <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd <HKLM\System\CurrentControlSet\Services\MSPatch < HKLM\SYSTEM\CurrentControlSet\Services\a3x <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoundMan <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svc32 <HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Sound Loader = sndloader.exe <HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ Sound Loader = sndloader.exe <HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDMGR <HKLM\SYSTEM\CurrentControlSet\Services\SndMgr #Gib dann och oben links in die Suchfunktion der Registry einund loesche rechts in der Registry alles, was du findest) <MSlti64.exe [W32/Gaobot.UE] <csrs.exe [W32/Agobot-NI] <sndloader.exe [W32/Agobot-BV] <svhost.exe <Tftpd.exe < Video Process <Sound Loader schliesse die Registry Loesche: Das machst du so: Oeffne noch mal das HijackThis: HijackThis<Config<Delete a file on reboot<reinkopieren:NavExcelBar.dll <PC neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:wmmon32.exe< neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:dllhost.exe< neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:Tftpd.exe<neustarten HijackThis<Config<Delete a file on reboot<reinkopieren: MSlti64.exe neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:csrs.exe< PC neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:svhost.exe< neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:sndloader.exe<neustarten Normalstart #Deinstalliere den Kaspersky(ist durch die Viren zerstoert...) und lade Antivirus (free) Antivirus (free) http://www.free-av.de/ Konfiguriere: "alle Dateien" und "Heuristik mittel" und scanne ebenfalls im abgesicherten Modus. Normalstart #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #Mache alle CriticalUpdates von MS Microsoft IIS 5.0 (MS03-007) MS03-039 servicio RPCSS (824146) MS04-011 (LSASS) (835732) #Kerio Personal Firewall Kerio ist freeware für den privaten Gebrauch. http://www.kerio.com/kpf_download.html <Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal). http://www.firewallinfo.de/handbuecher/tiny_kerio_20/ #Noch einmal das Tool anwenden: #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Wenn die Backdoors dann immer noch nicht geloescht sind...musst du eine Neuinstallation machen. mfg Sabina http://www.sophos.de/virusinfo/analyses/w32agobotbv.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.10.2004 um 01:30 Uhr von Sabina editiert.
|
|
|
||
11.10.2004, 23:55
...neu hier
Beiträge: 4 |
#12
hallo!
würde das auch gerne alles in der registry löschen, weiss aber leider überhaupt nicht wie ich all diese zeilen finde? Kannst du mir sagen, in welchem ordner die sind? Habs mit der Suchfunktion probiert, hilft mir aber nicht weiter. Danke, mfg, meropi |
|
|
||
12.10.2004, 00:50
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @meropi
Vergiss die Registry !!!!!!!!!!!!! Loesche: Das machst du so: Oeffne noch mal das HijackThis: HijackThis<Config<Delete a file on reboot<reinkopieren:NavExcelBar.dll <PC neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:wmmon32.exe< neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:dllhost.exe< neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:Tftpd.exe<neustarten HijackThis<Config<Delete a file on reboot<reinkopieren: MSlti64.exe neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:csrs.exe< PC neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:svhost.exe< neustarten HijackThis<Config<Delete a file on reboot<reinkopieren:sndloader.exe<neustarten _________________________________________________________________________________ #Deinstalliere den Kaspersky(ist durch die Viren zerstoert...) und lade Antivirus (free) Antivirus (free) http://www.free-av.de/ Konfiguriere: "alle Dateien" und "Heuristik mittel" und scanne ebenfalls im abgesicherten Modus. Normalstart #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #Start<Programme<WindowsUpdates machen !!! #Kerio Personal Firewall Kerio ist freeware für den privaten Gebrauch. http://www.kerio.com/kpf_download.html <Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal). http://www.firewallinfo.de/handbuecher/tiny_kerio_20/ #Noch einmal das Tool anwenden: #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.10.2004 um 00:52 Uhr von Sabina editiert.
|
|
|
||
12.10.2004, 16:09
...neu hier
Beiträge: 4 |
#14
hallo sabina!
eine freundin hat c formatiert und neu formatiert. ich hoffe, jetzt passt alles. sicherheitshalber hier noch mal ein hijack-logfile: Logfile of HijackThis v1.98.2 Scan saved at 16:04:11, on 12.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Executive Software\DiskeeperLite\DKService.exe D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\Meropi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" O4 - HKLM\..\Run: [SonicFocus] "C:\Programme\Sonic Focus\SFIGUI\SFIGUI.EXE" BOOT O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\FarStone\RestoreIT!\RestoreIT!_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097536663201 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab passt alles? würdest du mir zu meiner sicherheit noch was empfehlen? ich hab ein problem beim installieren der service packs von ms, weil die meldung "der für die windows-installation verwendete product-key ist ungültig" kommt. was kann ich da machen? vielen dank! lg, meropi |
|
|
||
12.10.2004, 16:34
Moderator
Beiträge: 7805 |
#15
Sieht gar nicht so uebel aus, nur das:
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) ist gar nicht gut! Bitte mal schleunigst www.windowsupdate.com besuchen, oder dir das SP2 auf CD besorgen. So solltest du es auf jeden Fall nicht lassen! Das bedeutet fuer dich, das du dir eine gueltige Lizenz fuer Windows XP zulegen musst! Erstens, weil man ja nicht "ungesetzliches" machen sollte und Zweitens, du kommst sonst nicht an die Updates, die fuer dein System "lebenswichtig" sind. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
versuche schon seit längeren vom laptop einer freundin den Qhosts.apd.trojan zu entfernen. hab mich im forum hier ein bisschen schlau gemacht und (so auf gut glück) folgendes gemacht:
#Stinger eingesetzt. Der hat auf C:\Windows\system32\drivers\etc\hosts eben den Qhosts.apd.trojan gefunden und entfernt
#wiederherstellung deaktiviert, heruntergefahren und in abgesicherten modus gewechselt
#adaware eingesetzt und alles entfernt
#spybot S&D eingesetzt und alles entfernt
#CWShredder eingesetzt (sagt, dass der Laptop clean ist)
#eSCan (2 Viren gefunden, renamed, log file hab ich gesichert)
#heruntergefahren und normal hochgefahren
#eSCan (die zweite, 2 Viren gefunden, renamed, log file hab ich wieder gesichert)
#nocheinmal den Stinger (der hat nichts finden können)
#Neustart
#hijackthis hat folgendes ausgespuckt:
Logfile of HijackThis v1.97.7
Scan saved at 23:59:03, on 1/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\windows\winset.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Documents and Settings\Ethel\®à±\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {33FB6728-BB66-7FBA-8756-17557CA62B4C} - C:\WINDOWS\System32\pgkvzrf.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Updater] C:\windows\winset.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: launApp.log
O4 - Startup: ntuser.dat
O4 - Startup: mt-uninstaller.exe.mwt
O4 - Startup: mt-uninstaller.exe
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
ich kenn mich mit dem ganzen leider nicht so aus, darum die bitte an euch: könnt ihr mir sagen, ob ich dieses miststück erlegt habe? und wenn nein, was würdet ihr mir vorschlagen?
danke für eure hilfe
servus
mathbau