Tr/dldr.agent.dg |
||
---|---|---|
#0
| ||
25.11.2004, 12:44
...neu hier
Beiträge: 7 |
||
|
||
25.11.2004, 13:25
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@
1.Schritt: <"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. --> http://d21c.com/Tom41/?D=A <AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen. --> www.malwarebytes.biz/AboutBuster.zip <AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen. --> http://www.lavasoft.de/support/download/ ------------------------------------------------------------------------------- 2.Schritt: Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ loesche rechts in der Registry AppInit_DLLs: tklcjpv80y5kl.dll und suche , (mit der Suchfunktion von der Registry links oben, ob es noch andere Eintraege von:< tklcjpv80y5kl < gibt...wenn ja, loeschen. 3.Schritt: #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe O20 - AppInit_DLLs: tklcjpv80y5kl.dll PC neustarten..und <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml 4.Schritt: Start<Ausfuehren: reinschreiben:cmd ->DOS oeffnet sich kopiere rein: attrib -h %systemroot%\system32\tklcjpv80y5kl.dll & ren %systemroot%\system32\tklcjpv80y5kl.dll Badfile.bad <enter< 5.Schritt: 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\WINNT\system32\tklcjpv80y5kl.dll 4.) PC neustarten ..wieder in den abgesicherten Modus 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\Windows\System32\ieloader.dll 4.) PC neustarten ..wieder in den abgesicherten Modus 6.Schritt: und dort füge cwsfix.reg" + "cwsserviceremove.reg durch "yes" der Registry bei und scanne mit AboutBuster und AdAware. (zweimal) und scanne auch mit dem Antivirus 7.Schritt: Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k und das neue Log vom HijackThis noch einmal posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.11.2004 um 13:30 Uhr von Sabina editiert.
|
|
|
||
25.11.2004, 23:21
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Sabina,
vielen Dank für Deine Hilfe. Ich habe an verschiedenen Stellen Probleme: ..................... 2.Schritt: Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ loesche rechts in der Registry AppInit_DLLs: tklcjpv80y5kl.dll ..................... Die Datei läßt sich nicht löschen! Sie ist immer kurzzeitig verschwunden, dann erscheint sie wieder. .................... 4.Schritt: Start<Ausfuehren: reinschreiben:cmd ->DOS oeffnet sich kopiere rein: attrib -h %systemroot%\system32\tklcjpv80y5kl.dll & ren %systemroot%\system32\tklcjpv80y5kl.dll Badfile.bad <enter< ........................ Hier sagt mir mein DOS: "System kann die angegebne Datei nicht finden" ..................... 6.Schritt: und dort füge cwsfix.reg" + "cwsserviceremove.reg durch "yes" der Registry bei .............................. Wie geht das???? Für weiter Hilfe danke ich schonmal! Grüße bevaupe |
|
|
||
25.11.2004, 23:29
Ehrenmitglied
Beiträge: 29434 |
#4
cwsfix.reg" +
"cwsserviceremove.reg einfach draufklicken und wenn du Frage kommt, der Registry beifuegen ?-> YES. Dann arbeite die anderen Punkte ab. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.11.2004, 23:35
...neu hier
Themenstarter Beiträge: 7 |
#5
Sorry, aber ich weiß leider nicht, wo ich draufklicken soll....
|
|
|
||
25.11.2004, 23:44
Ehrenmitglied
Beiträge: 29434 |
#6
Wenn du die zwei Tools laedst, erscheint ein Symbol auf dem Desketop---stelle ein, dass deine Downloads auf dem Desktop landen...dann klicke einfach drauf.
mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.11.2004, 19:26
...neu hier
Themenstarter Beiträge: 7 |
#7
Hallo Sabina,
ich habe jetzt alles ausgeführt. Folgende Auffälligkeiten: ..................... 2.Schritt: Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ loesche rechts in der Registry AppInit_DLLs: tklcjpv80y5kl.dll ..................... Die Datei läßt sich nicht löschen! Sie ist immer kurzzeitig verschwunden, dann erscheint sie wieder. .................... 4.Schritt: Start<Ausfuehren: reinschreiben:cmd ->DOS oeffnet sich kopiere rein: attrib -h %systemroot%\system32\tklcjpv80y5kl.dll & ren %systemroot%\system32\tklcjpv80y5kl.dll Badfile.bad <enter< ........................ Hier sagt mir mein DOS: "System kann die angegebne Datei nicht finden" ..................... 7.Schritt: Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr ............................... Bei Schritt 7 erscheint die Meldung: "Es wird berechnet, wieviel Speicherplatz auf C: freigegeben werden kann" und dann passiert gar nichts mehr. Mein Task Manager sagt mir dann, daß die CPU zu annähernd 100% ausgelastet ist. Und mein Trojaner bleibt mir leider treu. Hier das neue Log: Logfile of HijackThis v1.98.2 Scan saved at 19:16:34, on 27.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe C:\WINNT\system32\internat.exe C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe C:\Programme\PowerISDNMonitor\pisdnmon.exe G:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Hewlett-Packard\hp psc 700 series\FRU\Remind32.exe C:\WINNT\system32\wuauclt.exe C:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe C:\Programme\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe C:\WINNT\system32\hpoipm07.exe G:\Bea\zdownloads\tools\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\FRU\Remind32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe O4 - Global Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PowerISDNMonitor (Autostart).lnk = C:\Programme\PowerISDNMonitor\pisdnmon.exe O4 - Global Startup: WinZip Quick Pick.lnk = G:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O20 - AppInit_DLLs: tklcjpv80y5kl.dll Viele Grüße bevaupe |
|
|
||
27.11.2004, 21:10
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@bevaupe
fixe mit dem HijackThis: O20 - AppInit_DLLs: tklcjpv80y5kl.dll PC neustarten 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\WINNT\SYSTEM32\TKLCJPV80Y5KL.DLL 4.) PC neustarten 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\WINNT\system32\tklcjpv80y5kl.dll 4.) PC neustarten Mache die Datentraegerbereinigung mit Tuneup #TuneUp2004 (30 Tage free) http://www.tuneup.de/download/ Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporäre Internet-Dateien<Dateien löschen den Internet-Cache komplett per Hand löschen: Explorer - Rechtsklick auf C:\Windows\Temporary Internet Files\Content.IE5 - Suchen - Starten Löschen Sie nun alle Dateien außer der Datei Index.dat #eScan-Erkennungstool..loescht nicht...zeigt nur an http://www.rokop-security.de/board/index.php?showtopic=3867 <Das eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die "kavupd.exe" suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.11.2004 um 21:19 Uhr von Sabina editiert.
|
|
|
||
28.11.2004, 22:44
...neu hier
Themenstarter Beiträge: 7 |
#9
Hallo Sabina,
muß ich wirklich nur an der Stelle in den abgesicherten Modus, wo Du es geschrieben hast, oder auch weiter oben? Gruß beavaupe[/b] |
|
|
||
28.11.2004, 23:23
Ehrenmitglied
Beiträge: 29434 |
#10
du kannst schon ab Schritt 2 in den abgesicherten Modus gehen. Im Normalmodus bist du nur, um die Tools zu laden.
mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.12.2004, 22:21
...neu hier
Beiträge: 3 |
#11
hier mein log brauche dringend hilfe ...
Logfile of HijackThis v1.99.0 (BETA) Scan saved at 22:14:14, on 08.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\javavo.exe C:\Programme\SED\SED.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Avant Browser\avant.exe C:\WINDOWS\System32\devldr32.exe C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX00.672\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\legup.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/ R3 - Default URLSearchHook is missing O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {9A678796-707F-D256-27D0-BF6E13722D82} - C:\WINDOWS\sysfu32.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [javavo.exe] C:\WINDOWS\system32\javavo.exe O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe" O4 - HKLM\..\Run: [VBundleOuterDL] C:\Programme\VBouncer\BundleOuter.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1FDA79D6-485F-4201-8C1A-D0FC7AD4BE97} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1FDA79D6-485F-4201-8C1A-D0FC7AD4BE97} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1029_EN_XP.cab O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=b331500e16379a81f41a8494cd8dd932a8334 0979a12287dc02574406420d4d2a7c7e2f1daec70cd2f87c5f60bac4ad0bc404492431c68f16e82c73c09 aabd3b:1620fdecf04967b50153e08089622f09 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/ieplug.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A6A860CD-DAD9-470E-9785-F4AD9549F0B8}: NameServer = 192.168.0.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3DCBE34-9816-4A44-91D6-3BFAD64424A4}: NameServer = 192.168.0.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{D84FAE58-9E73-4195-B72F-6EF43A632926}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\javaxx.exe (file missing) Dieser Beitrag wurde am 09.12.2004 um 11:02 Uhr von Sabina editiert.
|
|
|
||
08.12.2004, 22:41
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@underboug
CoolWebSearch Variante, die über einen Windows Dienst gestartet wird. Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Lade: --> noch nichts damit machen (nur auf Arbeitsplatz enpacken) KillBox http://www.bleepingcomputer.com/files/killbox.php Lade: #eScan-Trial (deinstalliere vorher deinen Virenscanner) --> noch nicht scannen http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) Lade: #AboutBuster--> nicht scannen www.malwarebytes.biz/AboutBuster.zip http://www.spychecker.com/program/aboutbuster.html Lade : #AdAware (free)--> noch nicht scannen (erst im abgesicherten Modus) http://www.lavasoft.de/support/download/ #Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. suche: Network Security Service und deaktiviere den Dienst Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg auf dem Desktop speichern. ------------------------------------------------------------------------------------------------------------------ Code: REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_O?*001E*2019*017DRT*00F1*00E5*00C8*00B2$*000E*00D3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåȲ$Ó] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW] ------------------------------------------------------------------------------------------------------------------------ #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\legup.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\legup.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\legup.dll/sp.html#12345 R3 - Default URLSearchHook is missing O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {9A678796-707F-D256-27D0-BF6E13722D82} - C:\WINDOWS\sysfu32.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [javavo.exe] C:\WINDOWS\system32\javavo.exe O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe" O4 - HKLM\..\Run: [VBundleOuterDL] C:\Programme\VBouncer\BundleOuter.EXE O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1FDA79D6-485F-4201-8C1A-D0FC7AD4BE97} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1FDA79D6-485F-4201-8C1A-D0FC7AD4BE97} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1029_EN_XP.cab O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=b331500e16379a81f41a8494cd8dd932a833409 79a12287dc02574406420d4d2a7c7e2f1daec70cd2f87c5f60bac4ad0bc404492431c68f16e82c73c09aabd 3b:1620fdecf04967b50153e08089622f09 O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/ieplug.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\javaxx.exe (file missing) #Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). #Die Datei fix.reg auf dem Desktop doppelklicken. #C:\Windows\Downloaded Programm Files\ --> ALLE !!!!!!!!!löschen Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Loesche: C:\Programme\SED C:\Programme\VBouncer C:\Programme\xp-AntiSpy oeffne die Killbox: geh auf Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\legup.dll C:\WINDOWS\sysfu32.dll C:\WINDOWS\system32\javavo.exe C:\WINDOWS\javaxx.exe C:\WINDOWS\System32\Guard.tmp PC neustarten und wieder in den abgesicherten Modus gehen. #Scanne mit eScan (trial) und AdAware, und 2+ mit AboutBuster __________________________________________________________________________________________ arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken Lade. Adding sites\servers to the Internet Explorer Restricted Zone http://www.mvps.org/winhelp2002/restricted.htm Runterladen: Save Target as.. -> Speichern unter ... Anwenden: rechts anklicken und folgendes auswählen: Installieren (kein Neustart erforderlich) Hinweis: Dies entfernt alle Einträge sowohl aus "Vertrauenswürdige Zonen" und:ueberpruefen: Extras -> Internet Optionen -> Register "Sicherheit" -> "Vertrauenswürdige Sites" -> Button "Sites" und dort in der Liste "Websites" die "bösen" markieren und entfernen Lade: #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.12.2004 um 11:04 Uhr von Sabina editiert.
|
|
|
||
09.12.2004, 09:44
...neu hier
Themenstarter Beiträge: 7 |
#13
Hallo Sabina,
ich hatte zunächst keine Zeit, mich um mein Problem zu kümmern, nun hat mein neustes Update vom AntiVir mich vom Trojaner befreit! Vielen Dank trotzdem für Deine Hilfe, bevaupe |
|
|
||
09.12.2004, 09:46
...neu hier
Themenstarter Beiträge: 7 |
#14
Ups, gerade erhalte ich eine neue Meldung:
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\6PW72HG5\SHOWTOPIC[1].HTM Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml Läßt sich ebenfalls nicht löschen?! Gruß bevaupe |
|
|
||
09.12.2004, 10:52
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@bevaupe
das schwirrt neuerdings im Net rum . Man sollte den IE aktualisieren. Ansonsten immer die temporaeren Dateien leeren. Und der Antivirus loescht es ja . Es nervt...fast jede Seite die man anklickt, hat diesen Exploit __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.12.2004 um 10:53 Uhr von Sabina editiert.
|
|
|
||
mein Antivir meldet bei jedem Klick auf ein Programm nach ca. 10 sec. Wartezeit
C:\WINNT\SYSTEM32\TKLCJPV80Y5KL.DLL
Ist das Trojanische Pferd TR/Dldr.Agent.DG
Das Fenster muß ich ca. 8 mal wegklicken, dann öffnet sich das angeklickte Programm.
Die dll-Datei habe ich gelöscht, aber das Problem besteht unverändert.
Es folgt mein log-File (habe ich hier im Forum gelernt, bin ansonsten ziemlich ahnungslos, ich bitte daher um anfängertauglich Hilfestellung und sage schon mal danke!)
bevaupe
Logfile of HijackThis v1.98.2
Scan saved at 12:13:18, on 25.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
C:\Programme\PowerISDNMonitor\pisdnmon.exe
G:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\hp psc 700 series\FRU\Remind32.exe
C:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 4.0\Acrobat\Acrobat.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
G:\Bea\zdownloads\tools\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rp-online.de/public/home/nachrichten
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\FRU\Remind32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
O4 - Global Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerISDNMonitor (Autostart).lnk = C:\Programme\PowerISDNMonitor\pisdnmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = G:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O20 - AppInit_DLLs: tklcjpv80y5kl.dll