TR\LEFEAT.DLL1 wie entfernen? |
||
---|---|---|
#0
| ||
11.02.2005, 10:44
...neu hier
Beiträge: 10 |
||
|
||
11.02.2005, 10:53
Ehrenmitglied
Beiträge: 29434 |
#47
Hallo@lattenbreit
dann schauen wir mal direkt in der Registry nach: Start<Ausfuehren< regedit Bearbeiten-->suchen 1.) Remote Procedure Call was findest du ? 2.) suche auch unter diesem Schluessel, ob du einen Eintrag findest, der diesem hier aehnlich ist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers "^%SystemRoot^%\SYSTEM32\NTROOTKIT.exe"="WIN2000" "C:\WINDOWS\SYSTEM32\NTROOTKIT.exe"="WIN2000" ______________________________ Berichte, was du findest __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.02.2005 um 10:54 Uhr von Sabina editiert.
|
|
|
||
11.02.2005, 21:34
...neu hier
Beiträge: 10 |
#48
Also zu 1. :
Ich finde 7 Einträge, aber ich hoffe du willst nicht wirklich wissen wie die heißen! ich hab nämlich keine Ahnung wie mal so komische Symbole macht! Ich kann die Mistviecher auch nicht kopieren! Zu 2. : es gibt keine einzige - völlige - Übereinstimmung mit deinen Einträgen! Zu Eintrag 1 bis 3: die haben hinten kein 1/2 sondern Vierevke oder ne Klammer! Zu Eintrag 4: ...ControlSet003...hab ich nicht! Zu Eintrag 5: ...0000 hinten hab ich nicht, ansonsten aber identisch! Zu Eintrag 6: ...AppCompatFlags...hab ich auch nicht, bis dahin aber identisch! Zu Eintrag 7 und 8: scheinen nicht vorhanden zu sein! Na? Weißt du was, ich hol mir schon mal das Bier...so langsam macht das richtig Laune hier mit Euch! |
|
|
||
11.02.2005, 23:48
Ehrenmitglied
Beiträge: 29434 |
#49
Hallo@Lattenbreit
ich hab ja auch nicht gesagt, dass sie identisch sind, sondern aehnlich--> das ist ein Dienst, den der Hijacker erstellt hat und solange der nicht geloescht ist, wird dein PC nicht sauber sein Mache bitte unbedingt folgendes: Start<Aussfuehren<regedit: Ändern Sie außerdem noch die Rechte unter "Sicherheit" -> "Berechtigungen" und geben Sie der Gruppe "Jeder" bzw. "Everyone" auf diesen Zweig "Full Control"\ =>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen Schlüssel markieren --> Bearbeiten --> Berechtigungen --> Taste Erweitert --> Checkbox "Berechtigungen übergeortneter Objekte auf untergeortnete Objekte, sofern anwendabr, vererben. Die Berechtigung darf NICHT auf "Lesen" gestellt, sein, sonst kannst du es nicht loeschen. Loesche: alles, was du gefunden hast, was aehnlich, aber nicht unbedingt identlisch mit meinem Beispiel ist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000 schliesse die Registry neustarten dann scanne noch einmal mit escan und berichte, ob noch was gefunden wurde. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.02.2005 um 23:49 Uhr von Sabina editiert.
|
|
|
||
12.02.2005, 02:45
...neu hier
Beiträge: 10 |
#50
So schauts jetzt aus!
während ich e scan drüberlaufen lass, meldet sich zweimal mein AntiVir XP und schreit: -trojanisches Pferd: TR/Drop.StartP.TJ.1 -Datei enthält Signatur des Java Virus: Java/Classloade.Z.1 Na super...heute scheint mein Glückstag zu sein. e scan findet eine Geschichte: Sat Feb 12 01:58:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sat Feb 12 02:21:03 2005 => Total Files Scanned: 35836 Sat Feb 12 02:21:03 2005 => Total Virus(es) Found: 2 Sat Feb 12 02:21:03 2005 => Total Disinfected Files: 0 Sat Feb 12 02:21:03 2005 => Total Files Renamed: 0 Sat Feb 12 02:21:03 2005 => Total Deleted Files: 0 Sat Feb 12 02:21:03 2005 => Total Errors: 2 Sat Feb 12 02:21:03 2005 => Time Elapsed: 00:53:26 Sat Feb 12 02:21:03 2005 => Virus Database Date: 2005/02/09 Sat Feb 12 02:21:03 2005 => Virus Database Count: 117589 Sat Feb 12 02:21:03 2005 => Scan Completed. Sat Feb 12 02:25:44 2005 => Virus Database Date: 2005/02/09 Sat Feb 12 02:25:44 2005 => Virus Database Count: 117589 Und weil es gerade so lustig ist, hier nochmal ein topaktuelles hijackthis logfile: Logfile of HijackThis v1.99.0 Scan saved at 02:42:57, on 12.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTSVCCDA.EXE C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\CpuIdle\cpuidle.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\D-Link AirPlus\AirPlus.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108158209860 O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D12945-146E-49C1-BD7B-8E4F528D1D9A}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe So ich bin Matsch, freu mich auf Antwort! |
|
|
||
12.02.2005, 12:02
Moderator
Beiträge: 6466 |
||
|
||
12.02.2005, 14:35
Ehrenmitglied
Beiträge: 29434 |
#52
Hallo@Lattenbreit
Hast du den Dienst aus der Registry geloescht ??????? AEHNLICH wie dieser '??? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.02.2005 um 14:35 Uhr von Sabina editiert.
|
|
|
||
12.02.2005, 15:55
...neu hier
Beiträge: 10 |
#53
Ja, ich habe gerade nochmal nachgeschaut.
Ich habe alle Files, ähnlich deinen gelöscht, zumindest sind sie nicht mehr da! Ein paar Files haben allerdings Endungen alà: ...(A7S66Q...) soll ich sowas auch löschen? Und wie lösch ich: Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* ????? Ich bin voller Tatendrang und werde heute meinem PC mal zeigen wer hier die Hosen anhat!!! Ach und da wär noch was, die zwei von meinem AntiVir XP erkannten Problemchen soll ich ignorieren? Dieser Beitrag wurde am 12.02.2005 um 15:57 Uhr von lattenbreit editiert.
|
|
|
||
12.02.2005, 19:41
Ehrenmitglied
Beiträge: 29434 |
#54
wir wollen vermeiden, dass du wichtige Dienste loeschst, anstelle des Hijackers.
Deshalb lassen wir es dabei CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000 oder gibt es noch Dienste aehnlich diesem ????? wenn dein AVPersonal beim Scannen mit escan eine Virenmeldung ausgibt, musst du auf "loeschen" klicken. Ansonsten ist dein Log sauber __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.02.2005, 21:57
...neu hier
Beiträge: 10 |
#55
Ich habe alles gemacht wie verlangt!
Gibts noch irgendwelche Wünsche? Was empfiehlst du mir für die Zukunft...ws muss ich runterladen um meinen PC sicher zu machen? Hab jetzt schon Opera installiert! Und hier ist das nächste Bier! |
|
|
||
13.02.2005, 11:46
Ehrenmitglied
Beiträge: 29434 |
#56
Hallo@lattenbreit
Opera ist o.k. Du kannst auch den Firefox laden. #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html #Spywareblaster http://www.javacoolsoftware.com/sbdownload.html #Spywareguard->überwachungstool-->updaten und aktivieren http://www.javacoolsoftware.com/sgdownload.html Dann update den Antivirus jeden Tag und vermeide suspekte In-Net-Seiten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.02.2005 um 11:48 Uhr von Sabina editiert.
|
|
|
||
13.02.2005, 18:03
...neu hier
Beiträge: 10 |
||
|
||
13.02.2005, 23:47
...neu hier
Beiträge: 10 |
#58
Hoffentlich kann auch mir geholfen werden.
Sabina, ich hab das hier verfolgt und verstehst echt eine Menge davon! *thumbs up* Hier mein Hijack Log: Logfile of HijackThis v1.99.0 Scan saved at 23:46:42, on 13.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\AV Personal\AVGUARD.EXE D:\Programme\AV Personal\AVWUPSRV.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Mixer.exe D:\Programme\FRITZ! DSL\Awatch.exe D:\Programme\TV Movie ClickFinder\tvtip.EXE D:\Programme\AV Personal\AVGNT.EXE D:\Programme\FRITZ! DSL\FritzDsl.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\notepad.exe C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\kavss.exe D:\Tools\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/www.schloebe.de/intro.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {61704EFB-2CB9-E208-6F53-085E40335F62} - C:\WINDOWS\crea.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe" O4 - HKLM\..\Run: [TVTip] D:\Programme\TV Movie ClickFinder\tvtip.EXE /m O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AV Personal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [appgr.exe] C:\WINDOWS\system32\appgr.exe O4 - Startup: Fritz!web DSL.lnk = D:\Programme\FRITZ! DSL\FritzDsl.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.124.130 (HKLM) O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - http://download.smartsurfer.web.de/toolbar/webdetb.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AV Personal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AV Personal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe |
|
|
||
14.02.2005, 12:23
Ehrenmitglied
Beiträge: 29434 |
#59
Hallo@AlphawolfWMP
Dein PC ist voellig verseucht...und das ist kein Wunder--> du weisst wahrscheinlich nicht, dass man die WindowsUpdates machen muss. Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (kannst du dann wieder aktivieren) 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: {61704EFB-2CB9-E208-6F53-085E40335F62} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) {A6F74643-242A-A7A4-8DD5-DB40B9E25345} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ----------------------------------------------------------------------------------------- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/www.schloebe.de/intro.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129 O2 - BHO: (no name) - {61704EFB-2CB9-E208-6F53-085E40335F62} - C:\WINDOWS\crea.dll O4 - HKLM\..\RunOnce: [appgr.exe] C:\WINDOWS\system32\appgr.exe O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.124.130 (HKLM) O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - http://download.smartsurfer.web.de/toolbar/webdetb.cab PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDE.DLL C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML C:\WINDOWS\crea.dll C:\WINDOWS\system32\appgr.exe PC neustarten eScan-Erkennungstool -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> danach die infected-dateien loeschen (manuell oder mit der Killbox) #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 1. Download VX2Finder from this link: http://downloads.subratam.org/VX2Finder(126).exe Run Vx2Finder and click on the Click to find VX2.BetterInternet button. Click the Make Log button #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen (FULLSCANN) -->PC neustarten--> noch mal scannen--> poste das Log vom Scann CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html 4. Click "Fix ->" Log-->"make Report" --> poste das Log + poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.02.2005 um 12:42 Uhr von Sabina editiert.
|
|
|
||
14.02.2005, 17:13
...neu hier
Beiträge: 10 |
#60
Log für Registry Search Tool ({61704EFB-2CB9-E208-6F53-085E40335F62}):
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{61704EFB-2CB9-E208-6F53-085E40335F62}" 14.02.2005 17:04:15 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}\Data] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}\Data\MD] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks] "{61704EFB-2CB9-E208-6F53-085E40335F62}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{61704EFB-2CB9-E208-6F53-085E40335F62}] +++++++++++++++++++++++++++++++++++++++++++++++++++++++ Log für Registry Search Tool ({A6F74643-242A-A7A4-8DD5-DB40B9E25345}): REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{A6F74643-242A-A7A4-8DD5-DB40B9E25345}" 14.02.2005 17:06:51 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.IEToolbar\CLSID] @="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.IEToolbar.1\CLSID] @="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.XBTB01251\CLSID] @="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB01251.XBTB01251.1\CLSID] @="{A6F74643-242A-A7A4-8DD5-DB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\InstalledVersion] [HKEY_USERS\S-1-5-21-602162358-838170752-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}] [HKEY_USERS\S-1-5-21-602162358-838170752-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-DB40B9E25345}\iexplore] ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ eScan Log: Mon Feb 14 17:43:04 2005 => File C:\WINDOWS\d3kj.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. Mon Feb 14 17:43:11 2005 => File C:\WINDOWS\d3gz.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. Mon Feb 14 17:43:18 2005 => File C:\WINDOWS\System32\addqu.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. Mon Feb 14 17:43:19 2005 => File C:\WINDOWS\System32\apisp32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Log for VX2.BetterInternet File Finder (msg126) Files Found--- Additional Files--- Keys Under Notify--- AtiExtEvent crypt32chain cryptnet cscdll ScCertProp Schedule sclgntfy SensLogn termsrv wlballoon Guardian Key--- is called: User Agent String--- ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Ad-Aware Log: Ad-Aware SE Build 1.05 Logfile Created on:Montag, 14. Februar 2005 19:14:07 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R27 05.02.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CoolWebSearch(TAC index:10):11 total references MRU List(TAC index:0):51 total references Win32.TrojanDownloader.Agent.al(TAC index:7):1 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 14.02.2005 19:14:07 - Scan started. (Custom mode) Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 608 ThreadCreationTime : 14.02.2005 18:12:09 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 672 ThreadCreationTime : 14.02.2005 18:12:11 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 696 ThreadCreationTime : 14.02.2005 18:12:12 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 740 ThreadCreationTime : 14.02.2005 18:12:12 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 752 ThreadCreationTime : 14.02.2005 18:12:12 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [ati2evxx.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 912 ThreadCreationTime : 14.02.2005 18:12:15 BasePriority : Normal FileVersion : 6.14.10.4107 ProductVersion : 6.14.10.4107.03 ProductName : ATI External Event Utility for WindowsNT and Windows9X CompanyName : ATI Technologies Inc. FileDescription : ATI External Event Utility EXE Module InternalName : ATI2EVXX.EXE LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc. OriginalFilename : ATI2EVXX.EXE #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 948 ThreadCreationTime : 14.02.2005 18:12:15 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1100 ThreadCreationTime : 14.02.2005 18:12:15 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1208 ThreadCreationTime : 14.02.2005 18:12:16 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1348 ThreadCreationTime : 14.02.2005 18:12:16 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1488 ThreadCreationTime : 14.02.2005 18:12:17 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:12 [ati2evxx.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 300 ThreadCreationTime : 14.02.2005 18:12:23 BasePriority : Normal FileVersion : 6.14.10.4107 ProductVersion : 6.14.10.4107.03 ProductName : ATI External Event Utility for WindowsNT and Windows9X CompanyName : ATI Technologies Inc. FileDescription : ATI External Event Utility EXE Module InternalName : ATI2EVXX.EXE LegalCopyright : Copyright © 1999-2004 ATI Technologies Inc. OriginalFilename : ATI2EVXX.EXE #:13 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 432 ThreadCreationTime : 14.02.2005 18:12:24 BasePriority : Normal FileVersion : 6.00.2600.0000 (xpclient.010817-1148) ProductVersion : 6.00.2600.0000 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:14 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 668 ThreadCreationTime : 14.02.2005 18:12:45 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:15 [avguard.exe] FilePath : D:\Programme\AV Personal\ ProcessID : 376 ThreadCreationTime : 14.02.2005 18:12:45 BasePriority : Normal #:16 [avwupsrv.exe] FilePath : D:\Programme\AV Personal\ ProcessID : 124 ThreadCreationTime : 14.02.2005 18:12:45 BasePriority : Normal #:17 [tcpsvcs.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1088 ThreadCreationTime : 14.02.2005 18:12:48 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : TCP/IP Services Application InternalName : TCPSVCS.EXE LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : TCPSVCS.EXE #:18 [snmp.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1236 ThreadCreationTime : 14.02.2005 18:12:48 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : SNMP-Dienst InternalName : snmp.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : snmp.exe #:19 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1580 ThreadCreationTime : 14.02.2005 18:12:48 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:20 [wdfmgr.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1748 ThreadCreationTime : 14.02.2005 18:12:49 BasePriority : Normal FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act) ProductVersion : 5.2.3790.1230 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows User Mode Driver Manager InternalName : WdfMgr LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : WdfMgr.exe #:21 [nthy.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1740 ThreadCreationTime : 14.02.2005 18:13:00 BasePriority : Normal Win32.TrojanDownloader.Agent.al Object Recognized! Type : Process Data : nthy.exe Category : Data Miner Comment : (CSI MATCH) Object : C:\WINDOWS\system32\ Warning! Win32.TrojanDownloader.Agent.al Object found in memory(C:\WINDOWS\system32\nthy.exe) "C:\WINDOWS\system32\nthy.exe"Process terminated successfully "C:\WINDOWS\system32\nthy.exe"Process terminated successfully #:22 [mixer.exe] FilePath : C:\WINDOWS\ ProcessID : 1992 ThreadCreationTime : 14.02.2005 18:13:04 BasePriority : Normal FileVersion : 1.55 ProductVersion : 1.55 ProductName : Mixer CompanyName : C-Media Electronic Inc. (www.cmedia.com.tw) FileDescription : Mixer InternalName : Mixer LegalCopyright : Copyright (C) 1997-2002 LegalTrademarks : NONE OriginalFilename : Mixer.EXE Comments : Feng Min-Chih (min_chih@cmedia.com.tw) #:23 [awatch.exe] FilePath : D:\Programme\FRITZ! DSL\ ProcessID : 184 ThreadCreationTime : 14.02.2005 18:13:05 BasePriority : Normal FileVersion : 3.04.04 ProductVersion : 3.04.04 ProductName : ADSLWatch CompanyName : AVM Berlin FileDescription : ADSLWatch InternalName : ADSLWatch LegalCopyright : Copyright © AVM Berlin 2000-2003 OriginalFilename : AWatch.EXE #:24 [tvtip.exe] FilePath : D:\Programme\TV Movie ClickFinder\ ProcessID : 188 ThreadCreationTime : 14.02.2005 18:13:05 BasePriority : Normal FileVersion : 1.00 ProductVersion : 1.00 ProductName : TVTip InternalName : tvtip OriginalFilename : tvtip.exe #:25 [avgnt.exe] FilePath : D:\Programme\AV Personal\ ProcessID : 228 ThreadCreationTime : 14.02.2005 18:13:06 BasePriority : Normal #:26 [mfcvy.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 252 ThreadCreationTime : 14.02.2005 18:13:06 BasePriority : Normal #:27 [fritzdsl.exe] FilePath : D:\Programme\FRITZ! DSL\ ProcessID : 2036 ThreadCreationTime : 14.02.2005 18:13:06 BasePriority : Normal FileVersion : 3.03 / 1.06 ProductVersion : 3.03 / 1.06 ProductName : FRITZ! CompanyName : AVM Berlin GmbH FileDescription : FRITZ!web DSL InternalName : FRITZ!web DSL LegalCopyright : Copyright © AVM Berlin GmbH OriginalFilename : FritzDsl.exe Comments : Starter #:28 [ad-aware.exe] FilePath : D:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 3048 ThreadCreationTime : 14.02.2005 18:13:45 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 1 Objects found so far: 1 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\adobe\photoshop\7.0\visiteddirs Description : adobe photoshop 7 recent work folders MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list Description : list of recent files opened using wordpad MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\applets\paint\recent file list Description : list of files recently opened using microsoft paint MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\internet explorer\main Description : last save directory used in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\ahead\nero wave editor\recent file list Description : list of recently used files in nero wave editor MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent skins in realplayer MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\player\settings Description : last save as directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\google\navclient\1.1\history Description : list of recently used search terms in the google toolbar MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences Description : last cd record path used in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\internet explorer\typedurls Description : list of recently entered addresses in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\paint shop pro 7\recent file list Description : list of recently used files in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\animation shop 3\recent file list Description : list of recently used files in jasc animation shop MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\paint shop pro 7\general Description : last save as directory used in jasc paint shop pro MRU List Object Recognized! Location: : software\musicmatch Description : download location of the musicmatch installer MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\animation shop 3\saveasdialog Description : list of recently saved files in jasc animation shop MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent clips in realplayer MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : software\musicmatch\musicmatch jukebox\4.0\mmradio Description : information on the last station listened to using musicmatch radio MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\picture it! publishing\5.0\recent file list Description : list of recently used files in microsoft picture it! MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\macromedia\flash 6\recent file list Description : list of recently used files in macromedia flash MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\realnetworks\realplayer\6.0\preferences Description : last login time in realplayer MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\jasc\animation shop 3\fileopendialog Description : list of recently opened files in jasc animation shop MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\preferences Description : last search path used in microsoft windows media player MRU List Object Recognized! Location: : software\musicmatch\musicmatch jukebox\4.0\fileconv Description : file conversion location settings in musicmatch jukebox MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\mediaplayer\medialibraryui Description : last selected node in the microsoft windows media player media library MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\winrar\dialogedithistory\extrpath Description : winrar "extract-to" history MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-602162358-838170752-725345543-1003\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Web Production Unit\recent Description : list of recently opened documents Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 52 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\Dokumente und Einstellungen\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 52 Disk Scan Result for C:\TEMP\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 52 CoolWebSearch Object Recognized! Type : File Data : iwtss.txt Category : Malware Comment : Object : C:\WINDOWS\ Disk Scan Result for C:\WINDOWS\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 53 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CoolWebSearch Object Recognized! Type : Regkey Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\sw CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\sw Value : DisplayName CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\sw Value : UninstallString CoolWebSearch Object Recognized! Type : Regkey Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\se CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\se Value : DisplayName CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\se Value : UninstallString CoolWebSearch Object Recognized! Type : Regkey Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\hsa CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\hsa Value : DisplayName CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\hsa Value : UninstallString CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\internet explorer\main Value : Use Search Asst Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 10 Objects found so far: 63 19:19:27 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:05:19.687 Objects scanned:91537 Objects identified:12 Objects ignored:0 New critical objects:12 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ CWShredder Log: **** Run Keys **** RUN: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe RUN: [C-Media Mixer] Mixer.exe /startup RUN: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe" RUN: [TVTip] D:\Programme\TV Movie ClickFinder\tvtip.EXE /m RUN: [AVGCtrl] D:\Programme\AV Personal\AVGNT.EXE /min RUN: [QuickTime Task] "D:\Programme\QuickTime 6\qttask.exe" -atboottime RUN: [crcx32.exe] C:\WINDOWS\system32\crcx32.exe **** Browser Helper Objects **** BHO: [AcroIEHlprObj Class] D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll BHO: [Google Toolbar Helper] c:\programme\google\googletoolbar2.dll BHO: [Google Toolbar Helper] C:\WINDOWS\system32\crcx32.dll **** IE Toolbars **** TOOLBAR: [&Google] c:\programme\google\googletoolbar2.dll TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx **** IE Extensions **** IEExt: [] IEExt: [AIM] D:\Programme\AIM\aim.exe IEExt: [ICQ 4.1] D:\Programme\ICQ Lite\ICQLite.exe IEExt: [Messenger] C:\Programme\Messenger\MSMSGS.EXE **** Hosts File Entries **** **** IE Settings **** Default Page: about:blank Default Search: Local Page: C:\WINDOWS\system32\blank.htm Search Bar: Search Page: **** IE Context Menu (Right click) **** IEContext: [&Google Search] res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html IEContext: [Download with GetRight] D:\Tools\GetRight\GRdownload.htm IEContext: [Google AdSense Preview Tool] http://pagead2.googlesyndication.com/pagead/preview/en/preview.html IEContext: [Im Cache gespeicherte Seite] res://c:\programme\google\GoogleToolbar2.dll/cmcache.html IEContext: [Open with GetRight Browser] D:\Tools\GetRight\GRbrowse.htm IEContext: [Verweisseiten] res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html IEContext: [Ähnliche Seiten] res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html **** Layered Service Providers **** LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D10B11B-F296-4880-BB80-A5F70B84DB02}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D10B11B-F296-4880-BB80-A5F70B84DB02}] DATAGRAM 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0797C682-31EA-47C2-B116-BE0A206ACD3A}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0797C682-31EA-47C2-B116-BE0A206ACD3A}] DATAGRAM 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A07600B4-226C-4C1E-B471-61D8E7D4C030}] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A07600B4-226C-4C1E-B471-61D8E7D4C030}] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B644E85-E0F9-4593-8C24-81F7DB580D68}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B644E85-E0F9-4593-8C24-81F7DB580D68}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{94410781-1350-4637-8A6E-9C5CB96A0152}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{94410781-1350-4637-8A6E-9C5CB96A0152}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB4D98F3-40F1-4019-9884-EC5F1E578DCC}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB4D98F3-40F1-4019-9884-EC5F1E578DCC}] DATAGRAM 3 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** {166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab] {62475759-9E84-458E-A1AB-5D2C442ADFDE} [http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe] {88D969C0-F192-11D4-A65F-0040963251E5} [http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab] C:\WINDOWS\System32\msxml4a.dll C:\WINDOWS\System32\msxml4r.dll C:\WINDOWS\System32\msxml4.dll {8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab] {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} [http://messenger.msn.com/download/msnmessengersetupdownloader.cab] {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab] {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab] **** Windows Services **** [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AntiVirService] D:\Programme\AV Personal\AVGUARD.EXE [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe [ATI Smart] C:\WINDOWS\system32\ati2sgag.exe [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [AVWUpSrv] "D:\Programme\AV Personal\AVWUPSRV.EXE" [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [cisvc] C:\WINDOWS\System32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [de_serv] C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter [ImapiService] C:\WINDOWS\System32\imapi.exe [Iprip] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [LPDSVC] %SystemRoot%\System32\tcpsvcs.exe [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [PlugPlay] %SystemRoot%\system32\services.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [SimpTcp] %SystemRoot%\System32\tcpsvcs.exe [SNMP] %SystemRoot%\System32\snmp.exe [SNMPTRAP] %SystemRoot%\System32\snmptrap.exe [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{A34D5B9D-EFC3-44BA-A086-A325A4CDB4C3} [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TlntSvr] C:\WINDOWS\System32\tlntsvr.exe [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [UMWdf] C:\WINDOWS\System32\wdfmgr.exe [uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs [Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm **** Complete IE Options **** IEOPT: [Show_ChannelBand] No IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm IEOPT: [AddToFavoritesExpanded] IEOPT: [AllowWindowReuse] IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Check_Associations] yes IEOPT: [Disable Script Debugger] yes IEOPT: [Display Inline Images] yes IEOPT: [Display Inline Videos] yes IEOPT: [Do404Search] IEOPT: [Enable AutoImageResize] yes IEOPT: [Enable_MyPics_Hoverbar] yes IEOPT: [Error Dlg Details Pane Open] yes IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [Expand Alt Text] no IEOPT: [FavChevron] NO IEOPT: [FavIntelliMenus] yes IEOPT: [FavoritesExportFile] C:\Dokumente und Einstellungen\All Users\Dokumente\bookmark.htm IEOPT: [FavoritesImportFolder] C:\Dokumente und Einstellungen\Web Production Unit\Favoriten IEOPT: [Force Offscreen Composition] IEOPT: [FormSuggest Passwords] yes IEOPT: [FormSuggest PW Ask] no IEOPT: [Friendly http errors] yes IEOPT: [FullScreen] no IEOPT: [HistoryViewType] IEOPT: [Move System Caret] no IEOPT: [NoJITSetup] IEOPT: [NotifyDownloadComplete] no IEOPT: [NoUpdateCheck] IEOPT: [NoWebJITSetup] IEOPT: [NscSingleExpand] IEOPT: [Page_Transitions] IEOPT: [Play_Animations] yes IEOPT: [Play_Background_Sounds] yes IEOPT: [Print_Background] no IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show image placeholders] IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [ShowGoButton] yes IEOPT: [SmoothScroll] IEOPT: [Start Page] about:blank IEOPT: [Use FormSuggest] yes IEOPT: [Use Search Asst] no IEOPT: [Use_DlgBox_Colors] yes IEOPT: [UseThemes] IEOPT: [Window_Placement] , IEOPT: [Save Directory] C:\Dokumente und Einstellungen\Web Production Unit\Desktop\ IEOPT: [Search Page] IEOPT: [Search Bar] IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] %SystemRoot%\system32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] about:blank IEOPT: [CompanyName] Microsoft Corporation IEOPT: [Custom_Key] MICROSO IEOPT: [Wizard_Version] 6.0.2600.0000 IEOPT: [FullScreen] no IEOPT: [Check_Associations] yes IEOPT: [Default_Page_URL] about:blank IEOPT: [Default_Search_URL] IEOPT: [Search Page] IEOPT: [Use Search Asst] no IEOPT: [Search Bar] ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Aktuelles HiJack Log: Logfile of HijackThis v1.99.0 Scan saved at 19:33:54, on 14.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\AV Personal\AVGUARD.EXE D:\Programme\AV Personal\AVWUPSRV.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Mixer.exe D:\Programme\FRITZ! DSL\Awatch.exe D:\Programme\TV Movie ClickFinder\tvtip.EXE D:\Programme\AV Personal\AVGNT.EXE D:\Programme\FRITZ! DSL\FritzDsl.exe C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe C:\WINDOWS\system32\addqw32.exe C:\WINDOWS\system32\crcx32.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\111.tmp D:\Tools\Hijack This\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {AB9E092A-BF8D-71DD-9AA4-6E0B78BFA0CE} - C:\WINDOWS\system32\crcx32.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe" O4 - HKLM\..\Run: [TVTip] D:\Programme\TV Movie ClickFinder\tvtip.EXE /m O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AV Personal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime 6\qttask.exe" -atboottime O4 - HKLM\..\Run: [crcx32.exe] C:\WINDOWS\system32\crcx32.exe O4 - HKLM\..\Run: [111.tmp] C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\111.tmp.exe 0 28129 O4 - HKLM\..\RunOnce: [nthy.exe] C:\WINDOWS\system32\nthy.exe O4 - HKLM\..\RunOnce: [addqw32.exe] C:\WINDOWS\system32\addqw32.exe O4 - Startup: Fritz!web DSL.lnk = D:\Programme\FRITZ! DSL\FritzDsl.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AV Personal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AV Personal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe Das waren jetzt alle. Hoffe, ich habe alles richtig gemacht. Dieser Beitrag wurde am 14.02.2005 um 19:34 Uhr von AlphawolfWMP editiert.
|
|
|
||
Ich geh unter downloads auf getservices.zip...Doppelklick!
Krieg das Winzip Fenster mit zwei Dateien:
psservice.exe und getservice.bat...Doppelklick auf getservice.bat.
2 Fenster erscheinen...erstes Fenster: getservice.txt editor ist leer,
zweites Fenster: C:\WINDOWS\System32\cmd.exe, darin steht:
der Befehl psservice ist entweder falsch geschrieben oder konnte nicht gefunden werden!
ich hab es als Admin probiert und normal...hab sogar das Ding gelöscht und nochmal runtergeladen...haut nicht hin.
Ansonsten hab ich aber alles gemacht wie du empfohlen und das ist das Ergebnis:
Logfile of HijackThis v1.99.0
Scan saved at 10:33:38, on 11.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CpuIdle\cpuidle.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D12945-146E-49C1-BD7B-8E4F528D1D9A}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Na zufrieden mit deinem Schüler?