Trojaner Home Search Assistent Search Extender, Shopping Wizard

#1 Hallo und ein frohes neues Jahr.

Ich bin in diesem Forum ganz neu und möchte gerne meinen ersten guten Vorsatz fürs neue Jahr erfüllen:
Meinen Rechner von seiner nervigen Trojaner Krankheit befreien.
Ich hoffe ihr könnt mir weiter helfen.
Folgendes Problem:
Ich starte die Verbindung, öffne den Internet Explorer und schon kommt eine Meldung von Antivir:

E:\Windows\SYSTEM32\AOMGM.DLL
ist das trojanische Pferd TR/Dldr.Agent.AP.2

Es wurden aber auch schon andere Dateien von Antivir genannt, meistens zwei Dateien nacheinander.
Ich wähle dann immer löschen, nützt aber nicht wirklich was, da die Meldung immer weider beim öffnen eines neuen Fensters des IE oder beim normalen Öffnen erscheint. Beim Surfen erscheinen hin und wieder Pop Ups mit diverser Werbung.
In der Systemsteuerung unter Software sind die Programme

Home Search Assistent
Shopping Wizard
Search Extender

Diese Programme lassen sich auch nicht deinstallieren (es wird auf eine Internetseite verwiesen).
Zusätzlich sagt mir Zone Alarm dass die Anwendung atlqv32.exe Zugriff aufs Internet möchte. Sage immer nein, da ich nicht weiß was es ist.
Habe mit Hijack schon eine Auswertung auf der Seite hijackthis.de durchgeführt. Einiges habe ich gefixt, hat aber nicht das komplette Problem gelöst.
Hier meine momentane Logfile
Die unter O15 aufgeführten Vorgänge habe ich schon mehrmals gefixt, sie erscheinen aber immer wieder neu.

Logfile of HijackThis v1.98.2
Scan saved at 14:57:45, on 01.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINDOWS\system32\atlqv32.exe
E:\Programme\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\system32\sysia32.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Dokumente und Einstellungen\Markus\Desktop\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5952B661-A49F-07C2-2FD6-A5C20926F8DF} - E:\WINDOWS\iehi32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [atlqv32.exe] E:\WINDOWS\system32\atlqv32.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D16C9458-2CCB-44DD-9FAF-53BCA620F3A6}: NameServer = 195.50.140.250 145.253.2.11

Ich hoffe ihr könnt mir helfen das Problem zu beseitigen. Ich habe Hijack This, Antivir, Zone Alarm, Kill Box, eScan bereits alles ausprobiert.
Ich weiß nicht mehr weiter.
Bitte genau erklären, da ich auch kein PC Profi bin.
Falls mir jemand weiter helfen kann schonmal RIESEN DANK.

Ben

#2 Hallo@durdan81

Lade:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5952B661-A49F-07C2-2FD6-A5C20926F8DF} - E:\WINDOWS\iehi32.dll
O4 - HKLM\..\Run: [atlqv32.exe] E:\WINDOWS\system32\atlqv32.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com

PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

oeffne die Killbox:
<Delete File on Reboot
<Unregister .dll before deleting.”
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

E:\WINDOWS\iehi32.dll
E:\WINDOWS\system32\atlqv32.exe
E:\Windows\SYSTEM32\AOMGM.DLL

PC neustarten und wieder in den abgesicherten Modus gehen

konfiguriere den Antivirus
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

mache einen komplettscann und poste das Log vom SCan + das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Vielen Dank für die schnelle Antwort:
Also habe alles gemacht wie du geschrieben hast. Bisher kam auch keine Trojanermeldung von Antivir.
Eins ging allerdings nicht:
Ich konnte beim ausführen der Killbox kein Häckchen in dem Feld Unregister .dll before deleting machen.
Habe aber sonst alles gemacht wie du geschrieben hast.
Hier der Report von Antivir

Start des Suchlaufs: Samstag, 1. Januar 2005 15:47

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk A:
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk E: OK
Bootsektor von Laufwerk F: OK
Bootsektor von Laufwerk G: OK
Bootsektor von Laufwerk H: OK


Fehler beim Wechsel in das Verzeichnis System Volume Information


Fehler beim Wechsel in das Verzeichnis System Volume Information


E:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
Advertisingcom.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AvenueAInc2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BFast.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommissionJunction.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
eAcceleration.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FastClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FastClick1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Gator.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
LinkSynergy.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MediaPlex6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SearchIt.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexTracker3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ValueClick2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
E:\Dokumente und Einstellungen\Markus
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
E:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
E:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
E:\WINDOWS
jcfnn.log
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!
svcpack.log:brbtz
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!
umamr.txt
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!
WBDDA34I.DLL:ngflw
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!
E:\WINDOWS\system32
ccjot.log
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!
mdscz.dat
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!
zlohv.dat
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!
E:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information


Fehler beim Wechsel in das Verzeichnis System Volume Information


Fehler beim Wechsel in das Verzeichnis System Volume Information



Ende des Suchlaufs: Samstag, 1. Januar 2005 16:33
Benötigte Zeit: 46:40 min


3575 Verzeichnisse wurden durchsucht
97024 Dateien wurden geprüft
15 Warnungen wurden ausgegeben
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Viren bzw. unerwünschte Programme wurden gefunden

Hier die Logfile von Hijack

Logfile of HijackThis v1.98.2
Scan saved at 16:40:58, on 01.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
E:\Programme\Winamp\winampa.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\system32\sysia32.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\WINDOWS\system32\atlqv32.exe
E:\Dokumente und Einstellungen\Markus\Desktop\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS\hvtav.dll/sp.html#76985
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\hvtav.dll/sp.html#76985
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS\hvtav.dll/sp.html#76985
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS\hvtav.dll/sp.html#76985
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS\hvtav.dll/sp.html#76985
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS\hvtav.dll/sp.html#76985
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS\hvtav.dll/sp.html#76985
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {D43DD295-4905-E516-5B93-3DF47AC37138} - E:\WINDOWS\system32\appso32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [atlqv32.exe] E:\WINDOWS\system32\atlqv32.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D16C9458-2CCB-44DD-9FAF-53BCA620F3A6}: NameServer = 195.50.140.250 145.253.2.11

Liebe Grüße
Ben