Home » Viren, Trojaner & Malware Forum » Naupoint-->TR/Startpage.OX & Windows Media Player verschwunden » Themenansicht
Naupoint-->TR/Startpage.OX & Windows Media Player verschwunden |
||
|---|---|---|
| #0
| ||
|
26.12.2004, 01:18
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
26.12.2004, 10:50
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@cHill3n
"Trojan.Win32.StartPage.ox/Troj/StartPa-DJ Keylogger: Troj/Banker-Y/"TrojanProxy.Win32.Small.ah" ist ein Trojaner, der versucht, ausführbare Dateien herunterzuladen und auszuführen. Außerdem versucht er, vertrauliche Daten , auch Bankdaten aufzuspüren und diese an einen remoten Speicherort zu senden. Die Hauptkomponente von Troj/Banker-Y ist eine DLL namens lsd_f3.dll, die im Windows-Systemordner installiert wird. lsd_f3.dll exportiert Code, um Text zu speichern, der in Fenster eingegeben wird, deren Namen folgende Zeichenfolgen enthalten: 'Welcome to Citi', 'Ameritrade', 'E*TRADE', 'e-gold Account Access', 'PayPal', 'Chase.com', 'NETeller.com', 'e-Bullion', 'Evocash', 'INT Gold', 'pecunix', 'moneybookers.com'. Die gespeicherten Daten werden via HTTP an einen remoten Speicherort gesendet. lsd_f3.dll exportiert außerdem Code, um ausführbare Dateien als filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht) von einem remoten Speicherort in den Systemordner herunterzuladen und zu starten. Eine DLL namens eplrr.dll kann in den Windows-Systemordner heruntergeladen und installiert werden. Außerdem werden folgende Registrierungseinträge erstellt: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\eplrr = <HKCR\CLSID\<CLSID>\InprocServer32 = %SYSTEM%\eplrr.dll (wobei <CLSID> variabel ist.) Wenn eplrr.dll geladen wird, versucht sie, Konfigurationsdaten von einem remoten Speicherort herunterzuladen und kann - abhängig von den Konfigurationsdaten - Programme herunterladen und starten oder die Einstellungen im Microsoft Internet Explorer verändern, indem sie folgende Registrierungseinträge ändert: HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page usw. eplrr.dll lädt Programme mit dem Namen tmpf??.exe (wobei ?? für eine zweistellige Zahl steht) in den Systemordner herunter. Typischerweise wird eine Datei mit dem Namen timestamp.sys im Systemordner erstellt und eine Datei namens iesprt kann ebenfalls erstellt werden. ______________________________________________________________________________________ Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 _______________________________________________________________________________________ Start<Ausfuehren<-->schreib rein : cmd dann kopiere rein: regsvr32 /u c:\system32\eplrr9.dll enter del c:\windows\sbepavkh.exe enter del C:\WINDOWS\System32\ehvox.exe enter del C:\WINDOWS\sdqjgnir.exe enter del C:\WINDOWS\System32\wybougqi.exe enter del C:\WINDOWS\conscorr.exe enter C:\Program Files\Windows AdControl\WinAdCtl.exe uninst enter C:\Program Files\Windows AdControl\WinAdAlt.exe uninst enter C:\Programme\Web_Rebates\WebRebates0.exe uninst enter ------------------------------------------------------------------------------------------------- Lade (auf dem Desktop entpacken, aber noch nicht scanne-->erst im abgesicherten Modus) #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm <"I know what I'm doing" Killbox http://www.bleepingcomputer.com/files/killbox.php #Antivirus (free)--<warte den Installationsscann in aller Ruhe ab. http://www.free-av.de/ [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien <gehe in den abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt und sich als Administrator anmelden http://www.tu-berlin.de/www/software/virus/savemode.shtml #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: C:\WINDOWS\lbbho.dll - {827812BE-353A-441E-A77A-2FDD4EFC96F1} - C:\WINDOWS\lbbho.dll O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\jmk2C10.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\POPUPCOP\PopUpCop.dll O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [sbepavkh] c:\windows\sbepavkh.exe O4 - HKLM\..\Run: [sdqjgnir] C:\WINDOWS\sdqjgnir.exe O4 - HKLM\..\Run: [qdsxomyaijb] C:\WINDOWS\System32\wybougqi.exe O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\ehvox.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab O21 - SSODL: eplrr9 - {62DA6D9B-71BE-4E20-92BA-8AEEFB41F091} - C:\WINDOWS\System32\eplrr9.dll (file missing) ___________________________________________________________________________________ ___________________________________________________________________________________ Gehe in die Registry Start<Ausfuehren<regedit REGISTRY: Loesche folgendes: Bearbeiten-->suchen: naupoint eventuell findesr du folgendes: alles unter :-->naupoint #Software kompletten Schluessel loeschen: Naupointbar Toolbar Bar ID------- Reg_SZ -------- 2004082916352380108252196 #HKEY_CURRENT_USER <Software kompletten Schluessel loeschen: < Naupointbar Toolbar\.Ink Standard --> Inkfile Default_Page_URL -----> search.naupoint.com Default_Page_URL -----> *http://search.naupoint.com* Search Page -----> *http://search.naupoint.com* #HKEY_LOKAL_MACHINE < Software < Classes \Ink. Standard --> Inkfile loeschen: =Default_Page_URL --> search.naupoint.com =Default_Page_URL --> *http://search.naupoint.com* =Search Page --> *http://search.naupoint.com* #HKEY_CLASSES_ROOT\ kompletten Schluessel loeschen: CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\ InProcServer32\ =(Standard) --> REG_EXPAND_SZ----> %SystemRoot%\System32\browser =Default_Page_URL--------------------->search.naupoint.com =Default_Page_UR---------------------->search.naupoint.com =Default_Page_URL--------------------->*http://search.naupoint.com* =Lokal Page------------------------------>search.naupoint.com =Search Page---------------------------->*http://search.naupoint.com* =Start Page------------------------------->search.naupoint.com =ThreadingModel------------------------>Both #HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU loeschen. =a----------REG_SZ--------D:\HTML\dialer =b----------REG_SZ--------D:\HTML\systemvolumeninformation =c----------REG_SZ--------D:\HTML\registry_2611 =d----------REG_SZ--------D:\HTML\naupoint =e----------REG_SZ--------D:\HTML\install properties =f----------REG_SZ--------D:\HTML\tracing =g----------REG_SZ--------D:\HTML\iesprt =h----------REG_SZ--------C:\WINDOWS\Downloaded Programm Files\avsniff =i----------REG_SZ-------- D.\RECYCLER\S-1-5-21-583907252-920026266-1060284298-1003 #HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU* loeschen:-->alles, was du rechts findest =a----------REG_SZ----------D:\HTML\naupoint =b----------REG_SZ----------D:\HTML\naupoint3.jpg =c----------REG_SZ----------D:\HTML\naupoint2.jpg =d----------REG_SZ----------D:\HTML\registry_2611.psd =e----------REG_SZ----------D:\HTML\tracing =f----------REG_SZ----------D:\HTML\install properties =g----------REG_SZ----------D:\HTML\naupoint4.jpg =h----------REG_SZ----------D:\HTML\naupoint.jpg =i----------REG_SZ----------D:\HTML\iesprt =j----------REG_SZ----------D:\HTML\naupoint5.jpg #HKEY_LOKAL_MACHINE\Software\Microsoft\InternetExplorer\Search loeschen: =First Home Page---------->search.naupoint.com =LokalPage------------------>*http://www.startnow.com/* =SearchPage---------------->*http://search.naupoint.com* =StartPage------------------>search.naupoint.com #HKEY_USERS\S-1-5-21-583907252-920026266-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg3 \OpenSave MRU loeschen:-->alles, was du rechts findest =i----------REG_SZ---------- C.\RECYCLER\S-1-5-21-583907252-920026266-1060284298 ------------------------------------------------------------------------------- C:\Windows\System32\cplrr9.dll Bearbeiten-->suchen --> cplrr9 eventuell findest du folgende: #HKEY_CLASSES_ROOT\CLSID\ loeschen: {AAC61E8F-5ABA-4B66-BBCB-CCB2CD4FFF3C}\InproServer32 #HKEY_CLASSES_ROOT\CLSID\ loeschen: {ED816CFC-CF40-456C-835D-ADB732762301}\InproServer32 #HKEY_CLASSES_ROOT\CLSID\ loeschen: {D5B8F92A-0A26-439F-BAAB-B7E64C3814BC}\InproServer32 #HKEY_CLASSES_ROOT\CLSID\ loeschen: {62DA6D9B-71BE-4E20-92BA-8AEEFB41F091} #HKEY_CLASSES_ROOT\CLSID\ loeschen: {FB2EFD55-ACAA-4249-9D1A-5986AE371F6A}\InproServer32 ......................................................................................................... HKEY_LOKAL_MACHINE\Software\Classes\CLSID loeschen: {7B745B95-D118-4C9A-A2CC-240962575C60}\InproServer32 HKEY_LOKAL_MACHINE\Software\Classes\CLSID loeschen: {62DA6D9B-71BE-4E20-92BA-8AEEFB41F091} schliesse die Registry ___________________________________________________________________ ___________________________________________________________________ Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" <NEWDOT <versuche auch zu deinstallieren:Web_Rebates <versuche auch zu deinstallieren:Windows AdControl #oeffne -->LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm <"I know what I'm doing" bringe die "newdotnet6_38.dll" von der linken auf die rechte Seite und loesche sie (das Tool ist ganz wichtig, sonst hast du kein Internet mehr) #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK suche und loesche: tmpf??.exe (wobei ?? für eine zweistellige Zahl steht) iesprt (exe oder dll ???) oeffne die Killbox: es kann sein, dass einige exe und dll schon nicht mehr vorhanden sind...... geh auf <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\localNRD.dll C:\WINDOWS\Downloaded Program Files\bridge.dll C:\Programme\MySearch\bar\1.bin\S4BAR.DLL C:\WINDOWS\lbbho.dll C:\WINDOWS\System32\jmk2C10.dll C:\PROGRA~1\FLASHGET\jccatch.dll C:\PROGRA~1\POPUPCOP\PopUpCop.dll C:\Programme\Web_Rebates\WebRebates0.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Program Files\Windows AdControl\WinAdAlt.exe c:\windows\sbepavkh.exe C:\WINDOWS\sdqjgnir.exe C:\WINDOWS\System32\wybougqi.exe C:\WINDOWS\conscorr.exe C:\WINDOWS\System32\ehvox.exe C:\WINDOWS\System32\lsd_f3.dll C:\WINDOWS\system32\timestamp.sys C:\WINDOWS\System32\eplrr9.dll PC neustarten , wieder in den abgesicherten Modus. loesche: C:\RECYCLER\S-1-5-21-583907252-920026266-1060284298-1003 C:\Programme\MySearch C:\Program Files\Windows AdControl C:\Programme\Web_Rebates\ ganz wichtig: Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Einfach in den MS-DOS-Modus begeben: Start<ausfuehren<cmd reinkopieren: del c:\windows\temp ---> mit Y bestätigen (Entertaste drücken) ganz wichtig: #C:\Windows\Downloaded Programm Files\ -->löschen (ALLE) mache mit Antivirus einen Komplettscann.-->poste mit bitte das Log vom Scann gehe wieder in den Normalmodus. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! MRU-Clear XP 1.2 Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat. Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen. http://www.ok-s.de/download/download.html #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera http://www.clearprog.de/downloads.php #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein und poste das Log noch einmal. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.12.2004 um 11:24 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
naja nun zum meinem problem... irgenwie glaub ich, dass mein compu von nem virus befallen ist... mein windows media player ist einfach so verschwunden.... hoffe ihr könnt mir helfen !
THX IM VORRAUS !!
nun der log:
Logfile of HijackThis v1.98.2
Scan saved at 01:17:01, on 26.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Winamp\winampa.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\ehvox.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\Winamp.exe
D:\hjackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.naupoint.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {827812BE-353A-441E-A77A-2FDD4EFC96F1} - C:\WINDOWS\lbbho.dll
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\jmk2C10.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\POPUPCOP\PopUpCop.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [sbepavkh] c:\windows\sbepavkh.exe
O4 - HKLM\..\Run: [sdqjgnir] C:\WINDOWS\sdqjgnir.exe
O4 - HKLM\..\Run: [qdsxomyaijb] C:\WINDOWS\System32\wybougqi.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\ehvox.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = D:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .lpw: D:\Programme\Opera\PLUGINS\NPNetPumper_Application.dll
O12 - Plugin for .zip: D:\Programme\Opera\PLUGINS\NPNetPumper_Application.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBF7ABC-B5C9-4B1D-81FB-BC6BAD64B0DE}: NameServer = 192.168.1.1
O21 - SSODL: eplrr9 - {62DA6D9B-71BE-4E20-92BA-8AEEFB41F091} - C:\WINDOWS\System32\eplrr9.dll (file missing)