Hijacker - Fast alles entfernt, rechte Maustaste funktioniert nur noch nicht

#0
01.04.2005, 13:33
Member

Beiträge: 16
#1 Hallo,

seit ein paar Tagen habe ich einen Hijacker auf meinem Rechner im Büro. Ich habe durch viele gute Tipps hier im Forum schon einiges beheben können. Leider kann ich aber immer noch nicht die rechte Maustaste betätigen, was ziemlich nervt. Außerdem erstellen sich immer zwei Icons, wenn ich eine Datei auf dem Desktop speichere. Kann mir vielleicht jemand einen Tipp geben, wie ich das wieder hin bekomme?

Ich möchte nur noch kurz dazu sagen, dass ich schon mit Hijackthis das System gecheckt und alle "bösartigen" Einträge gefixt habe. Außerdem habe ich so einiges an Viren-, Spy- und Hicjack-Progs drüber laufen gelassen, aber es wurde nichts mehr gefunden.

Ich weiß nicht, ob es wichtig ist, dass ich mich als Benutzer und Admin anmelden kann. Ich habe stets auf beiden Konten versucht den Hijacker zu entfernen.

Als Benutzer erhalte ich von Hijackthis folgende Meldungen, bevor das Logfile erstellt wird:

„For some reason your system denied write access to the host file. If any hijacked domains are in this file, Hijackthis mac NOT be able to fix this.
If that happens, you need to edit the file yourself. To do this, click Start, Run and type:
Notepad “C:\System32\drivers\etc\hosts”
And press enter. Find the line(s) HijackThis reports and delete them. Save the files as “hosts”. (with quotes), and reboot.”

Wenn ich dann “OK” drücke, kommt folgende Fehlermeldung:

„An unexpected error has occurred at procedure: modMain_CheckOther1Item() Error#75 – Path/File access error.

Please email me at merijin@spywareinfo.com, reporting the following:
*What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
*A complete HijackThis scan log, if possible

Windows Version … etc

This message …etc”

Kann die Meldung daran liegen, dass ich keine Zugriffsrechte als Benutzer habe? Denn die Datei ist im Ordner System32/Drivers/etc vorhanden.

Gehe ich über Start, Ausführen und gebe: C:\System32\drivers\etc\hosts ein, bekomme ich gesagt, dass die Datei entfernt oder verschoben wurde.

Hier das Logfile als Benutzer:

Logfile of HijackThis v1.99.1
Scan saved at 13:19:40, on 01.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Canon\ScanSoft\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
C:\Programme\D-info_2003\D-Info\dinfostarter.exe
C:\Programme\Adobe\Photoshop 7.0\Photoshop.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\WinRAR.exe
C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.515\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\Canon\ScanSoft\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: D-Info Starter.lnk = C:\Programme\D-info_2003\D-Info\dinfostarter.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: klickTel Januar 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .AIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .php: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1814171a99ecb3bb9006/netzip/RdxIE601_de.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe


Hier das Logfile als Admin:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:36, on 01.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Canon\ScanSoft\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.016\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\Canon\ScanSoft\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: klickTel Januar 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .AIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .php: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1814171a99ecb3bb9006/netzip/RdxIE601_de.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe


Puh, ich glaube, das war´s. Ich wäre über Ratschläge sehr dankbar, dass ich es vermeiden möchte den Rechner zu formatieren.

Da ich nur vom Büro aus ins Forum kann und gleich Feierabend habe, kann ich erst Montag wieder nachschauen, ob mir jemand weiterhelfen konnte. Aber ich möchte mich jetzt schon mal für die Hilfe bedanken. Alles andere am Montag.

Ich wünsche jedem, der meinen Eintrag liest ein schönes Wochenende!

Vielen Dank für Ihre Mühe!

Grüße
pepsen
Seitenanfang Seitenende
04.04.2005, 11:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@pepsen

Der einfachste Schutz des eigenen Rechners vor solchen Attacken ist das Setzen des Attributs "Schreibgeschützt", dass wie folgt erreicht werden kann:

* Öffnen des Windows Datei-Explorers
* Auswahl der HOSTS Datei im oben beschriebenen Verzeichnis
* Recktsklick der Maustaste und Auswahl von "Eigenschaften" im Kontextmenü
* Häkchen setzen an: Schreibgeschützt

Allerdings ließe sich ein solcher Schreibschutz mittels oben erwähntem Trojaner aber auch leichtens wieder ausschalten, wenn dies nicht von einer Schutzsoftware bemerkt und blockiert würde.

Eine solche Software wäre beispielsweise das kostenlose WinPatrol 9, mit dem neben dem Schutz der HOSTS Datei auch weitere Einstellungen vorgenommen werden können. Wer mehr Komfort benötigt sowie auch Support, kann auf die kostenpflichtige Pro Version zugreifen, was im Einzelfall zu entscheiden wäre.

http://www.winpatrol.com/
__________________________________________________________________-

nimm das Haekchen (falls es da ist,vorruebergehend !!!!!! raus...dann wieder setzen)
erstelle mit HijackThis ein Log der Hostseintraege und poste sie.

•Beispiel HOSTFILE:
öffne das HijackThis
http://www.downloads.subratam.org/hijackthis.zip
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager

L2mfix
1. Laden Sie L2mfix von hier :
2.
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2005, 12:17
Member

Themenstarter

Beiträge: 16
#3 Hallo Sabina,

vielen Dank für Deine Hilfe. Habe aber leider das Problem, dass ich den Schreibschutz aus der Host-Datei nicht heraus bekommen, da ich die rechte Maustaste nicht benutzen kann. Auch: Datei - Eigenschaften funktioniert nicht.

Kannst Du mir auch hier weiterhelfen?

Ich danke Dir!

Gruß
Moni (pepsen)
Seitenanfang Seitenende
04.04.2005, 12:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4

Zitat

L2mfix
1. Laden Sie L2mfix von hier :
2.
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V).

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2005, 13:36
Member

Themenstarter

Beiträge: 16
#5 Hallo Sabina,

habe L2mfix ausgeführt, dabei aber folgende Meldungen erhalten:

"C:\WINNT\SYSTEM32\cmd.exe
C:\WINNT\SYSTEM32\AUTOEXE.NT. Die Systemdatei ist nicht geeignet um Anwendungen für MS-DOS oder Microsoft Windows auszuführen. Klicken Sie "Schließen", um die Anwendung zu beenden."

Ich habe dann "Ignorieren" gedrückt.

Zweite Meldung:

Registrierungseditor: "cleanup.reg kann nicht importiert werden: Fehler beim Öffnen der Datei. Mögliche Ursache ist ein Datenträger- oder Dateisystemfehler."

Hier die Logs:

1. Log:
Directory Listing of system files:
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 886C-8BEE

Verzeichnis von C:\WINNT\System32

04.04.2005 15:14 <DIR> dllcache
17.03.2005 16:06 417.792 n?svc32.exe
30.09.1999 19:21 166.672 mstext35.dll
28.09.1999 21:42 1.050.896 msjet35.dll
09.09.1999 22:06 168.720 msltus35.dll
09.09.1999 22:06 252.688 msexcl35.dll
25.08.1999 14:57 415.504 msrepl35.dll
10.06.1999 09:34 123.664 msjint35.dll
10.06.1999 09:34 24.848 msjter35.dll
07.06.1999 18:59 250.128 mspdox35.dll
25.04.1999 17:00 252.176 Msrd2x35.dll
25.04.1999 17:00 287.504 Msxbse35.dll
11 Datei(en) 3.410.592 Bytes
1 Verzeichnis(se), 2.913.714.176 Bytes frei

2. Log:
L2Mfix 1.02b

Running From:
C:\Desktop\l2mfix



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting registry permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Denying C access for really "Everyone"
- adding new ACCESS DENY entry


Registry Permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- Jeder
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting up for Reboot


Starting Reboot!

C:\Desktop\l2mfix
System Rebooted!

Running From:
C:\Desktop\l2mfix

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 708 'explorer.exe'
Killing PID 708 'explorer.exe'
Error 0x5 : Zugriff verweigert


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
updating: clear.reg (92 bytes security) (deflated 2%)
updating: echo.reg (92 bytes security) (deflated 5%)
updating: direct.txt (92 bytes security) (stored 0%)
updating: lo2.txt (92 bytes security) (deflated 71%)
updating: readme.txt (104 bytes security) (deflated 49%)
updating: report.txt (92 bytes security) (deflated 54%)
updating: test.txt (92 bytes security) (stored 0%)
updating: test2.txt (92 bytes security) (stored 0%)
updating: test3.txt (92 bytes security) (stored 0%)
updating: test5.txt (92 bytes security) (stored 0%)
adding: log.txt (104 bytes security) (deflated 79%)
adding: report_admin.txt (92 bytes security) (deflated 54%)
updating: backregs/shell.reg (104 bytes security) (deflated 74%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for really "Everyone"


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332


The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************


3. Log
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000


Ich danke Dir für Deine Hilfe.

Grüße
pepsen
Seitenanfang Seitenende
05.04.2005, 14:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@pepsen

Loesche:
C:\WINNT\System32\n?svc32.exe


#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

# Reconfigure Ad-Aware for Full Scan as per the following instructions:

* Launch the program, and click on the Gear at the top of the start screen.
* Under General Settings the following boxes should all be checked off: (Checked will be indicated by a green circle with a check mark in it, Un-Checked is a red circle with an X in it. If it is greyed out, those features are only available in the retail version.)
o "Automatically save logfile"
o Automatically quarantine objects prior to removal"
o Safe Mode (always request confirmation)
o Prompt to update outdated confirmation) - Change to 7 days.
* Click the "Scanning" button (On the left side).
* Under Drives & Folders, select "Scan within Archives"
* Click "Click here to select Drives + folders" and select your installed hard drives.
* Under Memory & Registry, select all options.
* Click the "Advanced" button (On the left hand side).
* Under "Shell Integration", select "Move deleted files to Recycle Bin".
* Under "Log-file detail", select all options.
* Click on the "Defaults" button on the left.
* Type in the full url of what you want as your default homepage and searchpage e.g. http://www.google.com.
* Click the "Tweak" button (Again, on the left hand side).
* Expand "Scanning Engine" by clicking on the "+" (Plus) symbol and select the following:
o "Unload recognized processes during scanning."
o "Obtain command line of scanned processes"
o "Scan registry for all users instead of current user only"
* Under "Cleaning Engine", select the following:
o "Automatically try to unregister objects prior to deletion."
o "During removal, unload explorer and IE if necessary"
o "Let Windows remove files in use at next reboot."
o "Delete quarrantined objects after restoring"
* Click on "Safety Settings" and select "Write-protect system files after repair (Hosts file, etc)"
* Click on "Proceed" to save these Preferences.
* Click on the "Scan Now" button on the left.
* Under "Select Scan Mode, be sure to select "Use Custom Scanning Options".

# Close all programs except ad-aware.
# Click on "Next" in the bottom right corner to start the scan.
# Run the Ad-Aware scan and allow it to remove everything it finds and then REBOOT - Even if not prompted to.
# After you log back in, Ad-Aware may run to finalize the scan and remove any locked files that it may of found. Allow it to finish.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2005, 15:51
Member

Themenstarter

Beiträge: 16
#7 Ich habe im System32 Ordner nur die Datei: nvsvc32.exe
Kann ich die einfach löschen?
Seitenanfang Seitenende
05.04.2005, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nein, das darfst du nicht, denn die nvsvc32.exe gehoert zur NVIDIA graphics card Treiber

Trojan Horse Dropper.Small.11.Z
C:\WINNT\System32\n?svc32.exe

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

reinkopieren:

C:\WINNT\System32\n?svc32.exe

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"

PC neustarten

•Download: StartDreck
http://www.greyknight17.com/spy/StartDreck.zip
Unzip to its own folder and start the program:
Press 'Config'
Press 'mark all'
Uncheck the following boxes only:
System/Drivers -> NT Services
System/Drivers -> NT Kernel- and FS-drivers
Press 'OK'
Press 'Save' and select the location to save the log file (default is the same folder as the application)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 09:40
Member

Themenstarter

Beiträge: 16
#9 Hallo Sabina,

habe Deine Anweisungen durchgeführt und von StartDreck folgende Logfile erhalten:

StartDreck (build 2.1.7 public stable) - 2005-04-06 @ 09:38:58 (GMT +02:00)
Platform: Windows 2000 (Win NT 5.0.2195 Service Pack 4)
Internet Explorer: 6.0.2800.1106
Logged in as Layout at ARTI1

»Registry
»Run Keys
»Current User
»Run
+nView
*NVIEW=rundll32.exe nview.dll,nViewLoadHook
»RunOnce
»Default User
»Run
*internat.exe=internat.exe
*ALUAlert=C:\Programme\Symantec\LiveUpdate\ALUNotify.exe
»RunOnce
*^SetupICWDesktop=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
»Local Machine
»Run
*Synchronization Manager=mobsync.exe /logon
*NvCplDaemon=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
*nwiz=nwiz.exe /install
*NVCLOCK=rundll32 nvclock.dll,fnNvclock
*SoundMan=SOUNDMAN.EXE
*NeroCheck=C:\WINNT\System32\NeroCheck.exe
*OpwareSE2="C:\Programme\Canon\ScanSoft\OpwareSE2.exe"
*ATIPTA=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
*ccApp="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
*URLLSTCK.exe=C:\Programme\Norton Internet Security\UrlLstCk.exe
*Symantec NetDriver Monitor=C:\PROGRA~1\SYMNET~1\SNDMon.exe
*TkBellExe="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
*zBrowser Launcher=C:\Programme\Logitech\iTouch\iTouch.exe
*EM_EXEC=C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINNT\system32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Active Setup (LM)
+Zugang zu Internet Explorer/>{26923b43-4d38-484f-9b9e-de460746276c}
*StubPath="C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE
+Browseranpassungen/>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
*StubPath=RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
+Zugang zu Outlook Express/>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
*StubPath="C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE
+Microsoft Windows Media Player 6.4/{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
*StubPath=rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\mplayer2.inf,PerUserStub.NT
+Microsoft Outlook Express 6/{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
*StubPath="%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
+NetMeeting 3.01/{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
*StubPath=rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
+EnableRevocation/{6A5110B5-E14B-4268-A065-EF89FF33C325}
*StubPath=regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
+Adressbuch 5/{7790769C-0471-11d2-AF11-00C04FA35D02}
*StubPath="%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
+Windows Desktop-Aktualisierung/{89820200-ECBD-11cf-8B85-00AA005B4340}
*StubPath=regsvr32.exe /s /n /i:U shell32.dll
+Internet Explorer 6/{89820200-ECBD-11cf-8B85-00AA005B4383}
*StubPath=%SystemRoot%\system32\ie4uinit.exe
+CRLUpdate/{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}
*StubPath=%SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl
»Browser Helper Objects (LM)
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
*Nisbho.CNisExtBho.1/{9ECB9560-04F9-4bbc-943D-298DDF1699E1}
`InprocServer32=C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
*Navbho.CNavExtBho.1/{BDF3E430-B101-42AD-A544-FADC6B084872}
`InprocServer32=C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
»Internet Explorer
»Current User
*Local Page=C:\WINNT\system32\blank.htm
*Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Start Page=http://www.google.de/
+SearchUrl
*provider=
»Default User
»Local Machine
*Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
*Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Local Page=%SystemRoot%\system32\blank.htm
*Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
*SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
»ShellServiceObjectDelayLoad (LM)
*Network.ConnectionTray={7007ACCF-3202-11D1-AAD2-00805FC1270E}
`InprocServer32=C:\WINNT\system32\NETSHELL.dll
*WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED}
`InprocServer32=%SystemRoot%\system32\webcheck.dll
*SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153}
`InprocServer32=stobject.dll
»Special NT Values
»Current User
*Load=
*Run=
*Programs=com exe bat pif cmd
*SHELL=
»Default User
*Load=
*Run=
*Programs=com exe bat pif cmd
*SHELL=
»Local Machine
*AppInit_DLLs=
*SHELL=Explorer.exe
*Userinit=C:\WINNT\system32\userinit.exe,
»Files
»Autostart Folders
»Current User
*C:\Dokumente und Einstellungen\Layout\Startmenü\Programme\Autostart\D-Info Starter.lnk
»Default User
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\klickTel Januar 2004 - Schnellstarter.lnk
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
`[boot loader]
`timeout=30
`default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
`[operating systems]
`multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect
*C:\msdos.sys
*C:\config.sys
*C:\WINNT\system32\config.nt
`dos=high, umb
`device=%SystemRoot%\system32\himem.sys
`files=20
*C:\WINNT\wininit.ini
`[Rename]
`NUL=C:\PROGRA~1\GXTRAN~1\GXTHRE~1.EXE
`NUL=C:\WINNT\GXTRAN~1.BAKC:\WINNT\system32\mqexdlm.srg=C:\WINNT\exdl.exe
`C:\WINNT\system32\javexulm.vxd=C:\WINNT\exul.exe
`NUL=C:\WINNT\ADP803~1.EXE
`NUL=C:\WINNT\exdl.exe
`NUL=C:\WINNT\ahadp.exe
*C:\WINNT\system32\drivers\etc\hosts
`127.0.0.1 localhost
»Program Files
*C:\ntldr
*C:\ntdetect.com
*C:\io.sys
*C:\WINNT\system32\win.com
*C:\WINNT\explorer.exe
»%PATH% Companion Files
+C:\WINNT\system32\notepad.exe
*C:\WINNT\NOTEPAD.EXE
+C:\WINNT\system32\taskman.exe
*C:\WINNT\TASKMAN.EXE
+C:\WINNT\system32\winhlp32.exe
*C:\WINNT\winhlp32.exe
»System/Drivers
»Running Processes
+0=<idle>
+8=<system>
+148=<unkown>
+176=<unkown>
+172=<unkown>
+224=<unkown>
+236=<unkown>
+348=<unkown>
+424=<unkown>
+436=<unkown>
+472=<unkown>
+532=<unkown>
+664=<unkown>
+704=<unkown>
+744=<unkown>
+788=<unkown>
+856=<unkown>
+904=<unkown>
+952=<unkown>
+1024=<unkown>
+1060=<unkown>
+1076=<unkown>
+916=C:\WINNT\system32\Ati2evxx.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
+1228=C:\WINNT\Explorer.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\shim.dll
*C:\WINNT\AppPatch\AcLayers.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\WINNT\system32\SHDOCVW.DLL
*C:\WINNT\system32\browseui.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\mydocs.dll
*C:\WINNT\system32\ntshrui.dll
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\System32\ntlanman.dll
*C:\WINNT\System32\NETUI0.DLL
*C:\WINNT\System32\NETUI1.DLL
*C:\WINNT\system32\NETSHELL.dll
*C:\WINNT\system32\webcheck.dll
*C:\WINNT\system32\stobject.dll
*C:\WINNT\system32\BATMETER.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\POWRPROF.DLL
*C:\WINNT\system32\WINMM.DLL
*C:\WINNT\system32\MSI.DLL
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\PROGRA~1\MICROS~2\Office\MLSHEXT.DLL
*C:\WINNT\system32\LINKINFO.DLL
*C:\WINNT\system32\browselc.dll
*C:\WINNT\System32\MSACM32.dll
*C:\WINNT\system32\urlmon.dll
*C:\WINNT\system32\mlang.dll
*C:\WINNT\system32\IMM32.DLL
*C:\WINNT\system32\wdmaud.drv
*C:\WINNT\system32\msacm32.drv
*C:\WINNT\system32\msadp32.acm
*C:\WINNT\system32\shdoclc.dll
*C:\WINNT\system32\CfgMgr32.dll
*C:\Programme\Gemeinsame Dateien\Adobe\Shell\AIIcon.dll
*C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
*C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
*C:\WINNT\system32\MSVCP70.dll
*C:\WINNT\system32\mshtml.dll
*C:\WINNT\system32\MSLS31.DLL
*C:\WINNT\System32\webvw.dll
*C:\WINNT\system32\imgutil.dll
*C:\WINNT\system32\mshtmled.dll
*C:\WINNT\System32\docprop2.dll
*C:\WINNT\System32\MSVFW32.DLL
*C:\WINNT\System32\AVIFIL32.DLL
*C:\WINNT\system32\faxshell.dll
*C:\WINNT\system32\USP10.DLL
*C:\Programme\rarext.dll
+1160=C:\WINNT\SOUNDMAN.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\USERENV.DLL
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
+1264=C:\Programme\Canon\ScanSoft\OpwareSE2.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\MSVCRT.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\msi.dll
+844=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\ole32.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\Programme\ATI Technologies\ATI Control Panel\atipdsxx.dll
*C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATRPUIXX.DEU
*C:\WINNT\system32\cfgmgr32.dll
*C:\WINNT\system32\setupapi.dll
*C:\WINNT\system32\USERENV.DLL
*C:\Programme\ATI Technologies\ATI Control Panel\atipdxxx.dll
*C:\WINNT\system32\DINPUT8.dll
*C:\WINNT\system32\HID.DLL
*C:\WINNT\system32\WINMM.DLL
+1388=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\COMCTL32.dll
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\MSVCP70.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\msvcrt.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\CLBCATQ.DLL
*C:\Programme\Symantec\LiveUpdate\ProductRegCom.DLL
*C:\Programme\Symantec\LiveUpdate\LuComServerPS.DLL
*C:\WINNT\system32\msi.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccVrTrst.dll
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\WSOCK32.dll
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WinTrust.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\IMAGEHLP.dll
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\secur32.dll
*C:\WINNT\system32\netapi32.dll
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\ASLOADER.DLL
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCALERT.DLL
*C:\WINNT\system32\WINMM.dll
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCEMLPXY.DLL
*C:\WINNT\system32\MSWSOCK.dll
*C:\WINNT\system32\SYMREDIR.dll
*C:\WINNT\system32\SHELL32.dll
*C:\PROGRA~1\NORTON~1\ISLALERT.DLL
*C:\PROGRA~1\NORTON~1\NISRES.DLL
*C:\WINNT\system32\WININET.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSet.dll
*C:\PROGRA~1\NORTON~1\NISPROD.DLL
*C:\PROGRA~1\NORTON~1\NORTON~1\CCIMSCAN.DLL
*C:\WINNT\system32\ATL70.DLL
*C:\PROGRA~1\NORTON~1\NORTON~1\DEFALERT.DLL
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetEvt.dll
*C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.DLL
*C:\PROGRA~1\NORTON~1\NORTON~1\apwutil.dll
*C:\PROGRA~1\NORTON~1\NORTON~1\SAVRT32.DLL
*C:\PROGRA~1\NORTON~1\SYMFWAGT.DLL
*C:\PROGRA~1\NORTON~1\NISALERT.DLL
*C:\WINNT\system32\SymNeti.DLL
*C:\WINNT\system32\MSVCP60.dll
*C:\PROGRA~1\NORTON~1\ccFWRuls.dll
*C:\PROGRA~1\NORTON~1\TLevel.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProSub.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLogin.dll
*C:\WINNT\system32\Msimg32.dll
*C:\Programme\Norton Internet Security\Norton AntiVirus\NAVOPTRF.DLL
*C:\WINNT\system32\MPR.DLL
*C:\Programme\Norton Internet Security\NISLCOM.dll
*C:\WINNT\System32\mstask.dll
*C:\WINNT\system32\comdlg32.dll
*C:\Programme\Norton Internet Security\Norton AntiVirus\apwcmdnt.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asFilter.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPxyEvt.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asUniPlg.dll
*C:\WINNT\system32\MAPI32.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asSpmEvt.dll
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\iraLSCl2.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\IraVcLc3.dll
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\WINNT\system32\SHFolder.dll
*C:\Programme\Symantec\LiveUpdate\NetDetectController.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\Programme\Norton Internet Security\Norton AntiVirus\NavEmail.dll
*C:\Programme\Norton Internet Security\NisEmail.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\DPHTML.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\SymIConv.dll
*C:\PROGRA~1\NORTON~1\NORTON~1\NAVOpts.dll
*C:\PROGRA~1\NORTON~1\NORTON~1\N32Exclu.dll
*C:\PROGRA~1\NORTON~1\NORTON~1\S32NAVO.DLL
*C:\Programme\Norton Internet Security\Norton AntiVirus\NAVError.dll
*C:\Programme\Norton Internet Security\Norton AntiVirus\NAVAPSCR.dll
+1428=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\shell32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\WINNT\system32\NTMARTA.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\WLDAP32.dll
*C:\WINNT\system32\SAMLIB.dll
*C:\WINNT\system32\NTDSAPI.dll
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
+1452=C:\Programme\Logitech\iTouch\iTouch.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\WINMM.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\MFC42.DLL
*C:\WINNT\system32\MSVCRT.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\MSVCP60.dll
*C:\WINNT\system32\MFC42LOC.DLL
*C:\Programme\Logitech\iTouch\iTouchrc.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\HID.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\wdmaud.drv
+1460=C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
*C:\WINNT\system32\ntdll.dll
*C:\PROGRA~1\MOUSEW~1\SYSTEM\MFC30.DLL
*C:\WINNT\system32\MSVCRT20.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\ole32.dll
*C:\PROGRA~1\MOUSEW~1\SYSTEM\EVENTEX.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\COMNCTR.dll
*C:\WINNT\system32\Logilang.dll
*C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\Programme\MouseWare\SYSTEM\ccresrce.dll
*C:\Programme\MouseWare\SYSTEM\ccustom.dll
*C:\Programme\MouseWare\SYSTEM\ccresglb.dll
*C:\Programme\MouseWare\SYSTEM\ccstmglb.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\Programme\MouseWare\System\devices.dll
*C:\PROGRA~1\MOUSEW~1\SYSTEM\ccmsghk.dll
+1488=C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
+1528=C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\kernel32.dll
*C:\WINNT\system32\user32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\advapi32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\oleaut32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\version.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\comctl32.dll
*C:\WINNT\system32\shell32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
+1500=C:\Programme\D-info_2003\D-Info\dinfostarter.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
+1776=C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
*C:\WINNT\system32\ntdll.dll
*C:\PROGRA~1\MICROS~2\Office\OUTLLIB.dll
*C:\WINNT\system32\MSVCRT.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\RPCRT4.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\COMCTL32.dll
*C:\PROGRA~1\MICROS~2\Office\MSO9.DLL
*C:\WINNT\system32\shim.dll
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\PROGRA~1\MICROS~2\Office\1031\outllibr.dll
*C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\omint.dll
*C:\WINNT\system32\MPR.dll
*C:\WINNT\system32\SHLWAPI.dll
*C:\PROGRA~1\MICROS~2\Office\OUTLRPC.dll
*C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\PSTPRX32.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\OMIPSTNT.DLL
*C:\Programme\Microsoft Office\Office\SBCMSYNC.DLL
*C:\Programme\D-info_2003\D-Info\outlookbtn.dll
*C:\Programme\Gemeinsame Dateien\System\MAPI\1031\NT\ExSec32.dll
*C:\WINNT\system32\riched20.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\mlang.dll
*C:\PROGRA~1\klickTel\KLICKT~1\ktOutlkA.dll
*C:\WINNT\system32\winspool.drv
*C:\PROGRA~1\klickTel\KLICKT~1\ktAddin.dll
*C:\WINNT\system32\wininet.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\winmm.dll
*C:\PROGRA~1\klickTel\KLICKT~1\IELIB.DLL
*C:\PROGRA~1\klickTel\KLICKT~1\KSDB32.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\olepro32.dll
*C:\WINNT\system32\VPES32.DLL
*C:\WINNT\System32\hhctrl.ocx
*C:\WINNT\System32\mui\0007\hhctrlui.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\MsouPlug.dll
*C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPI32.dll
*C:\WINNT\system32\MSVCP70.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccVrTrst.dll
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\WSOCK32.dll
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WinTrust.dll
*C:\WINNT\system32\IMAGEHLP.dll
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\secur32.dll
*C:\WINNT\system32\netapi32.dll
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSet.dll
*C:\WINNT\system32\msi.dll
*C:\WINNT\system32\imm32.dll
*C:\WINNT\system32\msoeacct.dll
*C:\WINNT\system32\MSOERT2.dll
*C:\WINNT\system32\acctres.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asUniPlg.dll
*C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll
*C:\WINNT\system32\inetcomm.dll
*C:\WINNT\system32\inetres.dll
*C:\WINNT\system32\PSTOREC.DLL
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\PROGRA~1\MICROS~2\Office\OUTLMIME.DLL
*C:\PROGRA~1\MICROS~2\Office\RTFHTML.DLL
*C:\WINNT\system32\wdmaud.drv
*C:\WINNT\system32\msacm32.drv
*C:\WINNT\system32\MSACM32.dll
*C:\WINNT\system32\shdocvw.dll
*C:\Programme\Gemeinsame Dateien\System\wab32.dll
*C:\Programme\Gemeinsame Dateien\System\wab32res.dll
*C:\WINNT\System32\OUTLWAB.DLL
+748=C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\Illustrator.exe
*C:\WINNT\system32\ntdll.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\CoolType.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\WINMM.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\BIB.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\BIBUtils.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\PDFL50.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\ACE.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\AGM.dll
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\OPP.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\MPS.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\Asn.er.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\System\AI90Res.dll
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\Programme\Gemeinsame Dateien\Adobe\Workflow\Arm.dll
*C:\WINNT\system32\mscms.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\ATMLIB.dll
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Photoshop-Adapter.aip
*C:\WINNT\system32\shfolder.dll
*C:\Programme\Gemeinsame Dateien\Adobe\Web\AdobeWeb.dll
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\ADM.aip
*C:\WINNT\system32\IMM32.dll
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Aktion.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\ZString.apl
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\FWServer.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\ASLib.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\ASDataStream.apl
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Art Style.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Bestände.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Ebenen-Palette.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Grafikattribute-Palette.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Objekt transformieren.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Aktionen-Palette.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\BrushManager.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Datei- & Zwischenablage-Einstellungen.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Tool Selector.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\VariablesPalette.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Illustrator-Formate - Standard\SVG-Dateiformat.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\SVGRE.dll
*C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\svgexport.dll
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Flare.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Symbole.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Geometrie.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Objekt erstellen-Suite.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\PathFinder Suite.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Pfade erstellen-Suite.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Umwandeln-Suite.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Magnetische Hilfslinien.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Illustrator-Formate - Standard\Für Web speichern.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Magic Wand.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Illustrator-Filter\Pathfinder.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Transparenz-Palette.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Transformationen-Palette.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Symbol Palette.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\SVG Filter Effect.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Slicing.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\ScriptingSupport.aip
*C:\WINNT\system32\ATL.DLL
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Navigator.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Multiple Master Design.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Links Palette.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Einzeln transformieren.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Dokumentinformationen.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Ausrichten-Palette.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Asset Mgmt.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Werkzeugpalette.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\MPSCommon.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\In Pixelbild umwandeln.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\Angleichungen.aip
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\ADMEveParser.apl
*C:\WINNT\system32\spool\DRIVERS\W32X86\3\CNMUIyd.DLL
*C:\WINNT\system32\MSIMG32.dll
*C:\WINNT\system32\spool\DRIVERS\W32X86\3\CNMDRyd.DLL
*C:\Programme\Adobe\Illustrator 10\Support Files\Required\PNGIcons.apl
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Hüllen und Verkrümmen.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Buntstift-Werkzeug.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Begrenzungsrahmen.aip
*C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Adobe Online.aip
*C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll
+1340=C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SHELL32.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
+1648=C:\Programme\Internet Explorer\iexplore.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHDOCVW.dll
*C:\WINNT\system32\comctl32.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\ole32.dll
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\BROWSEUI.dll
*C:\WINNT\system32\browselc.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\MSVCP70.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
*C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
*C:\WINNT\system32\msi.dll
*C:\WINNT\system32\urlmon.dll
*C:\WINNT\system32\shdoclc.dll
*C:\WINNT\system32\mlang.dll
*C:\WINNT\system32\wsock32.dll
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\sensapi.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\netapi32.dll
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\mshtml.dll
*C:\WINNT\system32\MSLS31.DLL
*C:\WINNT\system32\IMM32.DLL
*C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\scrauth.dll
*C:\WINNT\system32\imgutil.dll
*C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll
*C:\WINNT\system32\wintrust.dll
*C:\WINNT\system32\IMAGEHLP.dll
*C:\WINNT\system32\pngfilt.dll
*C:\WINNT\system32\rsaenh.dll
*c:\winnt\system32\jscript.dll
*C:\WINNT\system32\mshtmled.dll
+552=C:\Programme\WinRAR.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\COMDLG32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\SHELL32.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\riched32.dll
*C:\WINNT\system32\RICHED20.dll
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\System32\ntlanman.dll
*C:\WINNT\System32\NETUI0.DLL
*C:\WINNT\System32\NETUI1.DLL
*C:\WINNT\System32\NETAPI32.DLL
*C:\WINNT\System32\SECUR32.DLL
*C:\WINNT\System32\NETRAP.DLL
*C:\WINNT\System32\SAMLIB.DLL
*C:\WINNT\System32\WS2_32.DLL
*C:\WINNT\System32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\System32\DNSAPI.DLL
*C:\WINNT\System32\WSOCK32.DLL
*C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll
*C:\WINNT\system32\MSI.DLL
+292=C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\StartDreck.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\VB40032.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\MSVCRT20.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\OLEPRO32.DLL
*C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\VB4DE32.DLL
*C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll
*C:\WINNT\system32\MSVCR70.dll
*C:\Programme\Canon\ScanSoft\ophookSE2.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\MSVCRT.dll
*C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll
*C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\PSAPI.DLL
»VMM32Files (LM)
»%System%\VMM32
»%System%\IOSUBSYS
»Application specific
»MS Office 97/8.0 STARTUP-PATH
»Current User
»Default User
»Local Machine
»ICQ NetDetect
»Current User
»Default User


Kannst Du damit was anfangen, denn die rechte Maustaste funktioniert immer noch nicht und auch die Icons erscheinen immer noch 2x auf dem Desktop.

Danke Dir!
Seitenanfang Seitenende
06.04.2005, 10:39
...neu hier

Beiträge: 2
#10 Ich habe einen hijack gemacht und ich bitte euch nun diesen zu beurteilen.
Wie kann ich Trojaner wie z.B.sp2ctr am Besten entfernen?

Gruß battery




Logfile of HijackThis v1.99.1
Scan saved at 10:25:35, on 06.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\windows\system32\sp2ctr.exe
C:\windows\system32\evthtm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\SANDRO~1\LOKALE~1\Temp\Rar$EX00.692\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial
O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/puzzlepirates/miniclipGameLoader.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Seitenanfang Seitenende
06.04.2005, 11:14
Member

Themenstarter

Beiträge: 16
#11 Hallo battery,

bin leider selbst noch mit meinem Hijacker/Trojaner am kämpfen. Kann Dir also nicht wirklich weiterhelfen.

Vielleicht befolgst Du die Anleitungen, die Sabina auch mir gegeben hat.

Als ich gemerkt habe, dass mein Rechner infiziert ist, habe ich AdAware über das System laufen gelassen und alle Dateien gelöscht. Außerdem habe ich das Logfile auf www.hijackthis.de prüfen lassen und auch hier alle "bösartigen" Eintröge gefixt. Aber leider ist mein System immer noch nicht in Ordnung.

Es tut mir sehr leid, dass ich Dir nicht wirklich weiterhelfen kann.

Grüße pepsen
Seitenanfang Seitenende
06.04.2005, 12:11
Member

Themenstarter

Beiträge: 16
#12 @Sabina,

habe AdAware über mein System laufen gelassen und folgende Logfile erhalten:


Ad-Aware SE Build 1.05
Protokolldatei erstellt am:Mittwoch, 6. April 2005 09:58:03
Verwendete Definitionsdatei:SE1R36 01.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC-Index:5):1 Referenzen insgesamt
ClearSearch(TAC-Index:7):2 Referenzen insgesamt
CoolWebSearch(TAC-Index:10):4 Referenzen insgesamt
MRU List(TAC-Index:0):30 Referenzen insgesamt
Tracking Cookie(TAC-Index:3):7 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : Hosts-Datei scannen

Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Übergreifende Dateien beim Scanning von CAP-Archiven ignorieren
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Popups aggressiv blocken
Festlegen : Problematische Objekte in der Ergebnisliste automatisch auswählen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Begrüßungsseite anzeigen
Festlegen : Aktuelle Definitionsdatei vor der Aktualisierung sichern
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen


06.04.2005 09:58:03 - Scanning wurde gestartet. (Vollständiger Systemscan)

MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\nvidia corporation\global\nview\windowmanagement
Beschreibung : nvidia nview cached application window positions


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\adobe\photoshop\7.0\visiteddirs
Beschreibung : adobe photoshop 7 recent work folders


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Beschreibung : list of recent files opened using wordpad


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\applets\paint\recent file list
Beschreibung : list of files recently opened using microsoft paint


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\runmru
Beschreibung : mru list for items opened in start | run


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Beschreibung : list of recently saved files, stored according to file extension


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Beschreibung : list of recent programs opened


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\recentdocs
Beschreibung : list of recent documents opened


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\office\9.0\excel\recent files
Beschreibung : list of recent files used by microsoft excel


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\office\9.0\publisher\recent file list
Beschreibung : list of recent files used by microsoft publisher


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\adobe\adobe acrobat\5.0\avgeneral\crecentfiles
Beschreibung : list of recently used files in adobe acrobat


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer\main
Beschreibung : last save directory used in microsoft internet explorer


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\realnetworks\realplayer\6.0\preferences
Beschreibung : list of recent skins in realplayer


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer
Beschreibung : last download directory used in microsoft internet explorer


MRU List Objekt erkannt!
Pfad: : software\microsoft\directdraw\mostrecentapplication
Beschreibung : most recent application to use microsoft directdraw


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\microsoft management console\recent file list
Beschreibung : list of recent snap-ins used in the microsoft management console


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer\typedurls
Beschreibung : list of recently entered addresses in microsoft internet explorer


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\mediaplayer\player\settings
Beschreibung : last open directory used in jasc paint shop pro


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\realnetworks\realplayer\6.0\preferences
Beschreibung : list of recent clips in realplayer


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\applets\regedit
Beschreibung : last key accessed using the microsoft registry editor


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\macromedia\dreamweaver 6\recent file list
Beschreibung : list of recently used files in macromedia dreamweaver


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\realnetworks\realplayer\6.0\preferences
Beschreibung : last login time in realplayer


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\mediaplayer\player\recenturllist
Beschreibung : list of recently used web addresses in microsoft windows media player


MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\winrar\dialogedithistory\extrpath
Beschreibung : winrar "extract-to" history


MRU List Objekt erkannt!
Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk


MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\Layout\recent
Beschreibung : list of recently opened documents


Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [ati2evxx.exe]
FilePath : C:\WINNT\system32\
ProcessID : 916
ThreadCreationTime : 06.04.2005 07:23:37
BasePriority : Normal


#:2 [explorer.exe]
FilePath : C:\WINNT\
ProcessID : 1228
ThreadCreationTime : 06.04.2005 07:23:37
BasePriority : Normal
FileVersion : 5.00.3700.6690
ProductVersion : 5.00.3700.6690
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : EXPLORER.EXE

#:3 [soundman.exe]
FilePath : C:\WINNT\
ProcessID : 1160
ThreadCreationTime : 06.04.2005 07:23:44
BasePriority : Normal
FileVersion : 5.0.14
ProductVersion : 5.0.14
ProductName : Realtek Sound Manager
CompanyName : Realtek Semiconductor Corp.
FileDescription : Realtek Sound Manager
InternalName : ALSMTray
LegalCopyright : Copyright (c) 2001-2002 Realtek Semiconductor Corp.
OriginalFilename : ALSMTray.exe
Comments : Realtek AC97 Audio Sound Manager

#:4 [opwarese2.exe]
FilePath : C:\Programme\Canon\ScanSoft\
ProcessID : 1264
ThreadCreationTime : 06.04.2005 07:23:46
BasePriority : Normal
FileVersion : 12.0
ProductVersion : 2.0
ProductName : OmniPage SE
CompanyName : ScanSoft, Inc.
FileDescription : OCR Aware (32-bit)
InternalName : OPWARE12.EXE
LegalCopyright : Copyright © 1995-2003 ScanSoft, Inc.
LegalTrademarks : ScanSoft, OmniPage and OmniPage SE are registered trademarks of ScanSoft, Inc. in the United States and/or other countries.

OriginalFilename : OPWARE12.EXE

#:5 [atiptaxx.exe]
FilePath : C:\Programme\ATI Technologies\ATI Control Panel\
ProcessID : 844
ThreadCreationTime : 06.04.2005 07:23:48
BasePriority : Normal
FileVersion : 6.14.10.5090
ProductVersion : 6.14.10.5090
ProductName : ATI Desktop Component
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Desktop Control Panel
InternalName : Atiptaxx.exe
LegalCopyright : Copyright (C) 1998-2004 ATI Technologies Inc.
OriginalFilename : Atiptaxx.exe

#:6 [ccapp.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ProcessID : 1388
ThreadCreationTime : 06.04.2005 07:23:48
BasePriority : Normal
FileVersion : 2.1.6.3
ProductVersion : 2.1.6.3
ProductName : Common Client
CompanyName : Symantec Corporation
FileDescription : Common Client User Session
InternalName : ccApp
LegalCopyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
OriginalFilename : ccApp.exe

#:7 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 1428
ThreadCreationTime : 06.04.2005 07:23:54
BasePriority : Normal
FileVersion : 0.1.0.3208
ProductVersion : 0.1.0.3208
ProductName : RealPlayer (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:8 [itouch.exe]
FilePath : C:\Programme\Logitech\iTouch\
ProcessID : 1452
ThreadCreationTime : 06.04.2005 07:23:57
BasePriority : Normal
FileVersion : 1.80.466
ProductVersion : 1.80
ProductName : iTouch
CompanyName : Logitech Inc.
FileDescription : iTouch Application
InternalName : iTouch
LegalCopyright : Copyright © Logitech Inc. 1998-2001.
LegalTrademarks : Logitech® and iTouch® are registered trademarks of Logitech Inc.
OriginalFilename : iTouch.exe
Comments :

#:9 [em_exec.exe]
FilePath : C:\PROGRA~1\MOUSEW~1\SYSTEM\
ProcessID : 1460
ThreadCreationTime : 06.04.2005 07:23:58
BasePriority : Normal
FileVersion : 9.40.139
ProductVersion : 9.40
ProductName : MouseWare
CompanyName : Logitech Inc.
FileDescription : Control Center
InternalName : EM_EXEC
LegalCopyright : Copyright © Logitech Inc. 1987-2001.
LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc.
OriginalFilename : EM_EXEC.CPP
Comments : Created by the MouseWare Team

#:10 [acrotray.exe]
FilePath : C:\Programme\Adobe\Acrobat 5.0\Distillr\
ProcessID : 1488
ThreadCreationTime : 06.04.2005 07:24:00
BasePriority : Normal
FileVersion : 5, 0, 0, 0
ProductVersion : 5, 0, 0, 0
ProductName : AcroTray - Adobe Acrobat Distiller helper application.
CompanyName : Adobe Systems Inc.
FileDescription : AcroTray
InternalName : AcroTray
LegalCopyright : Copyright © 2001
OriginalFilename : AcroTray.exe

#:11 [kstart32.exe]
FilePath : C:\Programme\klickTel\klickTel Januar 2004\
ProcessID : 1528
ThreadCreationTime : 06.04.2005 07:24:08
BasePriority : Normal
FileVersion : 7.0.0.0
ProductVersion : 6.00
ProductName : Schnellstarter für klickTel Mai 99
CompanyName : klickTel GmbH
LegalCopyright : klickTel GmbH

#:12 [dinfostarter.exe]
FilePath : C:\Programme\D-info_2003\D-Info\
ProcessID : 1500
ThreadCreationTime : 06.04.2005 07:24:12
BasePriority : Normal
FileVersion : 2003.03.1.67 Mar 23 2003
ProductVersion : 2003.03.1.67 Mar 23 2003
ProductName : D-Info
CompanyName : Buhl Data Service
FileDescription : AutoStart Service startet http-server bei connect
InternalName : dinfostarter
LegalCopyright : (C) 2002-2003 Buhl Data Service
OriginalFilename : dinfostarter.exe

#:13 [outlook.exe]
FilePath : C:\PROGRA~1\MICROS~2\Office\
ProcessID : 1776
ThreadCreationTime : 06.04.2005 07:24:35
BasePriority : Normal


#:14 [illustrator.exe]
FilePath : C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\
ProcessID : 748
ThreadCreationTime : 06.04.2005 07:29:21
BasePriority : Normal
FileVersion : 10.0.3
ProductVersion : 10.0.3
ProductName : Adobe Illustrator
CompanyName : Adobe Systems, Inc.
FileDescription : Adobe Illustrator
InternalName : Illustrator10
LegalCopyright : © 1987-2001 Adobe Systems Incorporated. All rights reserved.
OriginalFilename : Illustrator10.exe

#:15 [aom.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Adobe\Web\
ProcessID : 1340
ThreadCreationTime : 06.04.2005 07:29:42
BasePriority : Normal
FileVersion : 2.7.2.6
ProductVersion : 2.7.2.6
ProductName : AOM Application
CompanyName : Adobe Systems, Incorporated
FileDescription : AOM MFC Application
InternalName : AOM
LegalCopyright : Copyright © 1998-2000 Adobe Systems, Incorporated. All rights reserved.
OriginalFilename : AOM.EXE

#:16 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Professional\
ProcessID : 1536
ThreadCreationTime : 06.04.2005 07:45:49
BasePriority : Normal
FileVersion : 6.2.0.208
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:17 [iexplore.exe]
FilePath : C:\Programme\Internet Explorer\
ProcessID : 1692
ThreadCreationTime : 06.04.2005 07:47:29
BasePriority : Normal
FileVersion : 6.00.2800.1106
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : IEXPLORE.EXE

Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 30


Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_USERS
Objekt : S-1-5-21-1123561945-527237240-682003330-1000\software\serg

Alexa Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
ROOTKEY : HKEY_USERS
Objekt : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer\extensions\cmdmapping
Wert : {c95fe080-8f5d-11d2-a20b-00aa003c157a}

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 2
Bisher gefundene Objekte: 32


Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 32


Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : layout@mediaplex[1].txt
Kategorie : Data Miner
Kommentar : Hits:1
Wert : Cookie:layout@mediaplex.com/
Expires : 22.06.2009 02:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : layout@doubleclick[1].txt
Kategorie : Data Miner
Kommentar : Hits:1
Wert : Cookie:layout@doubleclick.net/
Expires : 29.03.2005 09:50:06
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : layout@as1.falkag[1].txt
Kategorie : Data Miner
Kommentar : Hits:5
Wert : Cookie:layout@as1.falkag.de/
Expires : 06.04.2005 10:37:28
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : layout@spylog[1].txt
Kategorie : Data Miner
Kommentar : Hits:1
Wert : Cookie:layout@spylog.com/
Expires : 27.09.2005 14:41:36
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : layout@cgi-bin[2].txt
Kategorie : Data Miner
Kommentar : Hits:6
Wert : Cookie:layout@imrworldwide.com/cgi-bin
Expires : 02.04.2015 09:21:18
LastSync : Hits:6
UseCount : 0
Hits : 6

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : layout@ehg-systemax.hitbox[1].txt
Kategorie : Data Miner
Kommentar : Hits:3
Wert : Cookie:layout@ehg-systemax.hitbox.com/
Expires : 31.03.2006 14:43:18
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : layout@hitbox[1].txt
Kategorie : Data Miner
Kommentar : Hits:7
Wert : Cookie:layout@hitbox.com/
Expires : 31.03.2006 14:43:18
LastSync : Hits:7
UseCount : 0
Hits : 7

Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 7
Bisher gefundene Objekte: 39



Dateien werden gründlich gescannt und überprüft (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

ClearSearch Objekt erkannt!
Typ : Datei
Daten : rtso.exe
Kategorie : Data Miner
Kommentar :
Objekt : C:\Dokumente und Einstellungen\Layout\Anwendungsdaten\



Ergebnis d. Datenträgerscans für C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 40


Dateien werden gründlich gescannt und überprüft (E;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für E:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 40


Dateien werden gründlich gescannt und überprüft (F;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für F:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 40


Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\serg

CoolWebSearch Objekt erkannt!
Typ : Regkey
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\pop

CoolWebSearch Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Malware
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\microsoft\internet explorer\main
Wert : Enable Browser Extensions

ClearSearch Objekt erkannt!
Typ : RegValue
Daten :
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_CURRENT_USER
Objekt : software\microsoft\internet explorer\urlsearchhooks
Wert : {CFBFAE00-17A6-11D0-99CB-00C04FD64497}

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 4
Bisher gefundene Objekte: 44

10:04:44 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:06:40.766
Gescannte Objekte:102712
Identifizierte Objekte:14
Ignorierte Objekte:0
Neue kritische Objekte:14

Ich habe alle kritischen Dateien, u.a Coolwebsearch entfernt, dennoch klappt nach wie vor die rechte Maustaste nicht und der Desktop mach mir auch immer noch Probleme.

So, dann habe ich Deine Anweisungen befolgt und wollte die Keys in der Reg. löschen, habe aber keine mehr gefunden. Auch die Killbox gibt mir bei allen Dateien die Meldung dass die Dateien nicht existieren ("This file does not seem to exist).

AdAware zeigt mir an, dass ich auch den CoolWebSearch Virus habe.

Kann ich sonst noch was tun?

Danke Dir!
Seitenanfang Seitenende
06.04.2005, 12:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@battery,

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial
O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/puzzlepirates/miniclipGameLoader.dll

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\windows\system32\sp2ctr.exe
C:\windows\system32\evthtm.exe
C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe
C:\Windows\Downloaded Program Files\miniclipGameLoader.dll

neustarten


C:\Programme\NavExcel Search Toolbar<---loeschen
C:\Program Files\Video1\<---loeschen

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 12:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14

Zitat

Sabina postete
Hallo@pepsen

Troj/Dloader-CC->Bargain Buddy
#exul.exe - detected as ADW_NAVISEARCH.B
#javexulm.vxd - detected as ADW_NAVISEARCH.B


#C:\WINNT\system32\mqexdlm.srg tagged as not-a-virus:AdWare.BargainBuddy.n.

Start<Ausfuehren<regedit

HKEY_CLASSES_ROOT>CLSID
Still in the left panel, locate and delete the key:
{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

HKEY_LOCAL_MACHINE>Softwar>Microsoft>Windows>
CurrentVersion>Explorer>Browser Helper Objects\
{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

HKEY_CLASSES_ROOT\
* ADP.UrlCatcher
* ADP.UrlCatcher.1

HKEY_CLASSES_ROOT>CLSID
{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

HKEY_CLASSES_ROOT>Interface
* {8EEE58D5-130E-4CBD-9C83-35A0564E5678}
* {C6906A23-4717-4E1F-B6FD-F06EBED15678}

HKEY_CLASSES_ROOT>TypeLib
Still in the left panel, locate and delete the key:
{5297E905-1DFB-4A9C-9871-A4F95FD58945}

Close Registry Editor.

C:\PROGRA~1\GXTRAN~1--> suche den kompletten Namen vom Programm und deinstalliere es (es kann sein, dass die Killbox es nicht loescht, weil der Name nicht / der Pfad nicht komplett ist)

C:\PROGRA~1\GXTRAN~1\GXTHRE~1.EXE
C:\WINNT\GXTRAN~1.BAK
C:\WINNT\ADP803~1.EXE

Loesche mit der Killbox:

C:\WINNT\system32\vx0.nls
C:\WINNT\system32\vx1.nls
C:\WINNT\system32\vx1x.nls
C:\WINNT\system32\mqexdlm.srg
C:\WINNT\exdl.exe
C:\WINNT\system32\exdl0.exe
C:\WINNT\system32\exdl1.exe
C:\WINNT\system32\javexulm.vxd
C:\WINNT\exul.exe
C:\WINNT\ADP803~1.EXE
C:\WINNT\exdl.exe
C:\WINNT\System32\msbe.dll
C:\WINNT\ahadp.exe

PC neustarten

CCleaner
http://www.ccleaner.com/ccdownload.asp

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner


•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 13:14
Member

Themenstarter

Beiträge: 16
#15 @Sabina,

die Registry-Einträge habe ich nicht gefunden. Sind nicht vorhanden. Habe vor einigen Tagen verdächtige Reg-Einträge gelöscht, vielleicht waren die dabei.

Soll ich folgende Einstellung bei der Killbox vornehmen?

"•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes" "

bevor ich die Dateien lösche oder soll ich "Standard File Kill" wählen?

Folgende Dateien könnten verdächtig sein, da die das Erstellungsdatum haben, an dem ich verseucht wurde:

In C:\WINNT

saap_gdf.dat
saap_kyf.dat
saappau.dat
WMSysPR9.prx
test (keine Ahnung was für ein Dateiformat)
win.ini
wininit.ini
ODBCINST.ini
wmsetup.log
saap.log

In C:\WINNT\System32

FNTCACHE.dat
perflibs_
ap2nqrd4.dat
gah95on6.ini

Kann ich welche davon löschen und wenn ja, im abgesicherten Modus oder "normal"?
Seitenanfang Seitenende