Home » Viren, Trojaner & Malware Forum » TrojAdClick-AC nicht restlos entfernbar - Bitte um Hilfe » Themenansicht
TrojAdClick-AC nicht restlos entfernbar - Bitte um Hilfe |
||
|---|---|---|
| #0
| ||
|
06.01.2005, 13:11
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
06.01.2005, 13:29
Member
Beiträge: 16 |
#2
Hallo,
du solltest dein Logfile mal bei www.hijackthis.de auswerten lassen!! Ich habe es mit deinem Logfile gemacht, sieht voll Böse aus !! Du solttest alle die als böse genannt oder unbekannt (nur die DU nicht kennst) sind Fixn!! Du solltes aber dein Hijackthis in einem extra Ordner haben, denn nur so erstellt das Programm ein Backup!! MFG Firefoxxx[/url] |
|
|
|
|
|
|
06.01.2005, 13:56
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo, das neue Logfile sieht jetzt so aus und scheint zumindest nicht mehr bösartig zu sein. Wie findet man denn die virusbefallenen Dateien, die sowas da hineinschreiben, wenn es der Virenscanner nicht tut? Vermutlich liegen die ja noch irgendwo.
Aber schon mal herzlichen Dank! Logfile of HijackThis v1.99.0 Scan saved at 13:51:16, on 06.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE C:\WINDOWS\TEMP\ICSUPP95.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\IRMON.EXE C:\WINDOWS\SYSTEM\SISTRAY.EXE C:\WINDOWS\SYSTEM\KHOOKER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\CHTVINIT.EXE C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE C:\PROGRAMME\MOZILLA1.7.5\MOZILLA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://172.20.1.2/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=172.20.1.1:8080;https=172.20.1.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = caesar; 172.20.1.2;<local> O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] irmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe O4 - HKLM\..\Run: [ChrontelInitTV] CHTVINIT.EXE O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.5\Mozilla.exe" -turbo O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O12 - Plugin for .gz: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll |
|
|
|
|
|
|
06.01.2005, 14:22
...neu hier
Themenstarter Beiträge: 6 |
#4
Leider hat sich nach einem Neustart die Situation wieder deutlich verschlechtert.
Der Trojaner sitzt immer noch im System und hat erneut böse Konfigurationen geschrieben. Hat noch jemand eine Idee? Was könnte man da machen? Zum dritten mal das log: Es sind wieder die vom Virus erzeugten Zeilen http://www.yoursearch247.com/se.html etc. zu sehen Logfile of HijackThis v1.99.0 Scan saved at 14:15:43, on 06.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE C:\WINDOWS\TEMP\ICSUPP95.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\IRMON.EXE C:\WINDOWS\SYSTEM\SISTRAY.EXE C:\WINDOWS\SYSTEM\KHOOKER.EXE C:\WINDOWS\SYSTEM\CHTVINIT.EXE C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE C:\PROGRAMME\MOZILLA1.7.5\MOZILLA.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearch247.com/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearch247.com/se.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yoursearch247.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearch247.com/se.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearch247.com/se.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yoursearch247.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yoursearch247.com/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://172.20.1.2/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=172.20.1.1:8080;https=172.20.1.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = caesar; 172.20.1.2;<local> O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] irmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe O4 - HKLM\..\Run: [ChrontelInitTV] CHTVINIT.EXE O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.5\Mozilla.exe" -turbo O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O12 - Plugin for .gz: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll |
|
|
|
|
|
|
06.01.2005, 14:30
...neu hier
Themenstarter Beiträge: 6 |
#5
Vielleicht kennt jemand auch noch weitere Tools, die hilfreich sein könnten?
Kann man vielleicht mit einem anderen log-Programm erkunden, welcher Prozess die neuen internet-Adressen in die registry einträgt und diesen dann löschen? |
|
|
|
|
|
|
06.01.2005, 14:34
Member
Beiträge: 16 |
#6
Hast du schon versucht die Infizierten Daten Manuel zu Löschen!
|
|
|
|
|
|
|
06.01.2005, 14:38
...neu hier
Themenstarter Beiträge: 6 |
#7
Das Problem ist, ich habe einige datein manuell gelöscht, und jetzt finden die Virus-Suchprogramme nichts mehr. Aber offensichtlich ist ein Bestandteil des Virus noch aktiv. Wie könnte ich diesen finden? Die scanner a², spybot und sophos helfen nicht mehr weiter.
|
|
|
|
|
|
|
06.01.2005, 14:43
Member
Beiträge: 16 |
#8
Schau mal auf http://www.trojaner-info.de/hijacker/escan.shtml und lad dir den E-Scan!!
Befolge die anweisungen!! |
|
|
|
|
|
|
06.01.2005, 14:47
Member
Beiträge: 16 |
#9
Wenn, er noch was Findet dann lösch es Manuel! Der Pfad wird dir angezeigt, wosich die infizierte Datei bzw. Dateien befinden!!
|
|
|
|
|
|
|
06.01.2005, 15:16
Member
Beiträge: 16 |
#10
Lösche es dann mit O&O SafeErase, das ist ein klasse entfernungs Tool.
Das entfernt Daten für immer, allerdings brauchst du einen entpacker wie winzip o. WinRar! Das Tool findest du hier http://www.stern.de/sterntv/SafeErase_sterntv.zip dann Neustart!! Noch mal Posten!! |
|
|
|
|
|
|
06.01.2005, 15:32
...neu hier
Themenstarter Beiträge: 6 |
#11
sorry, hat etwas gedauert.
Deine Hilfe war aber Gold wert, herzlichen Dank! escan hat aufgedeckt, dass das eigentliche Problem ein Trojan.Downloader.win32.vb.h gewesen ist, der immer neue Viren angeschleppt hat. Mehrere von denen und den downloader habe ich manuell gelöscht, da Dein Löschprogramm bei mir aber nicht läuft, starte ich im abgesicherten Modus und lösche alles auf der dos-Ebene. das sollte dann schon gut genug weg sein. escan zumindest findet den Trojaner (vorerst...) nicht mehr. Ich denke, ich habs geschafft, sollte nochwas nachkommen melde ich mich nochmal. Dir ein ganz herzliches "Vergelts Gott" (komm aus Bayern  )Michael P.S. Die Trojaner im einzelnen waren Trojan.VBS.Startpage.z Trojan.Win32.Startpage.qr Downloader.Win32.vb.h |
|
|
|
|
|
|
06.01.2005, 15:44
Member
Beiträge: 16 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
gestern hat sich bei einer Internet-Recherche mit dem MS Internet explorer mindestens ein Trojaner auf meinem System eingenistet, der die Startseite des IE verändert und pop-up Fenster anzeigt.
Sophos hat ihn u.a. als TrojAdClick-AC identifiziert aber nicht entfernen können.
Anbei ein Blick in mein log-File, vielleicht hat jemand einen Tipp für mich
Danke! (Bestimmt sind so manche Einträge überflüssig - was kann denn ohne großen Schaden anzurichten gelöscht werden?)
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
C:\WINDOWS\TEMP\ICSUPP95.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\CHTVINIT.EXE
C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE
C:\PROGRAMME\MOZILLA1.7.5\MOZILLA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://172.20.1.2/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=172.20.1.1:8080;https=172.20.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = caesar; 172.20.1.2;<local>
O1 - Hosts: 216.65.115.193 members.tripod.com
O1 - Hosts: 216.65.115.193 www.geocities.com
O1 - Hosts: 216.65.115.193 angelfire.com
O1 - Hosts: 216.65.115.193 www.angelfire.com
O1 - Hosts: 216.65.115.193 www.fortunecity.com
O1 - Hosts: 216.65.115.193 smutserver.com
O1 - Hosts: 216.65.115.193 www.smutserver.com
O1 - Hosts: 216.65.115.193 www1.smutserver.com
O1 - Hosts: 216.65.115.193 www2.smutserver.com
O1 - Hosts: 216.65.115.193 www3.smutserver.com
O1 - Hosts: 216.65.115.193 www4.smutserver.com
O1 - Hosts: 216.65.115.193 www5.smutserver.com
O1 - Hosts: 216.65.115.193 www6.smutserver.com
O1 - Hosts: 216.65.115.193 www7.smutserver.com
O1 - Hosts: 216.65.115.193 www8.smutserver.com
O1 - Hosts: 216.65.115.193 www9.smutserver.com
O1 - Hosts: 216.65.115.193 www10.smutserver.com
O1 - Hosts: 216.65.115.193 www11.smutserver.com
O1 - Hosts: 216.65.115.193 www12.smutserver.com
O1 - Hosts: 216.65.115.193 www13.smutserver.com
O1 - Hosts: 216.65.115.193 www14.smutserver.com
O1 - Hosts: 216.65.115.193 www15.smutserver.com
O1 - Hosts: 216.65.115.193 www16.smutserver.com
O1 - Hosts: 216.65.115.193 www17.smutserver.com
O1 - Hosts: 216.65.115.193 www18.smutserver.com
O1 - Hosts: 216.65.115.193 www19.smutserver.com
O1 - Hosts: 216.65.115.193 www20.smutserver.com
O1 - Hosts: 216.65.115.193 tgpfriendly.com
O1 - Hosts: 216.65.115.193 www.tgpfriendly.com
O2 - BHO: YBIOCtrl Class - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7D366CC3-CAB7-4D37-ACBB-1ACABFC69107} - C:\WINDOWS\SYSTEM\PBHI.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [ChrontelInitTV] CHTVINIT.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRAMME\SYSTEM SOAP PRO\SOAP.exe min
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.5\Mozilla.exe" -turbo
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O12 - Plugin for .gz: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O18 - Filter: text/html - {BCDD1E52-97D3-4C97-98EB-AA0E4CF5FD6F} - C:\WINDOWS\SYSTEM\PBHI.DLL
O18 - Filter: text/plain - {BCDD1E52-97D3-4C97-98EB-AA0E4CF5FD6F} - C:\WINDOWS\SYSTEM\PBHI.DLL