Hijacker - Fast alles entfernt, rechte Maustaste funktioniert nur noch nicht |
||
---|---|---|
#0
| ||
01.04.2005, 13:33
Member
Beiträge: 16 |
||
|
||
04.04.2005, 11:23
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@pepsen
Der einfachste Schutz des eigenen Rechners vor solchen Attacken ist das Setzen des Attributs "Schreibgeschützt", dass wie folgt erreicht werden kann: * Öffnen des Windows Datei-Explorers * Auswahl der HOSTS Datei im oben beschriebenen Verzeichnis * Recktsklick der Maustaste und Auswahl von "Eigenschaften" im Kontextmenü * Häkchen setzen an: Schreibgeschützt Allerdings ließe sich ein solcher Schreibschutz mittels oben erwähntem Trojaner aber auch leichtens wieder ausschalten, wenn dies nicht von einer Schutzsoftware bemerkt und blockiert würde. Eine solche Software wäre beispielsweise das kostenlose WinPatrol 9, mit dem neben dem Schutz der HOSTS Datei auch weitere Einstellungen vorgenommen werden können. Wer mehr Komfort benötigt sowie auch Support, kann auf die kostenpflichtige Pro Version zugreifen, was im Einzelfall zu entscheiden wäre. http://www.winpatrol.com/ __________________________________________________________________- nimm das Haekchen (falls es da ist,vorruebergehend !!!!!! raus...dann wieder setzen) erstelle mit HijackThis ein Log der Hostseintraege und poste sie. •Beispiel HOSTFILE: öffne das HijackThis http://www.downloads.subratam.org/hijackthis.zip "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager L2mfix 1. Laden Sie L2mfix von hier : 2. http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe 3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. 4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. 5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix 6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. 7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V. WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter]. 9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. 10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. 11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2005, 12:17
Member
Themenstarter Beiträge: 16 |
#3
Hallo Sabina,
vielen Dank für Deine Hilfe. Habe aber leider das Problem, dass ich den Schreibschutz aus der Host-Datei nicht heraus bekommen, da ich die rechte Maustaste nicht benutzen kann. Auch: Datei - Eigenschaften funktioniert nicht. Kannst Du mir auch hier weiterhelfen? Ich danke Dir! Gruß Moni (pepsen) |
|
|
||
04.04.2005, 12:22
Ehrenmitglied
Beiträge: 29434 |
#4
Zitat L2mfix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.04.2005, 13:36
Member
Themenstarter Beiträge: 16 |
#5
Hallo Sabina,
habe L2mfix ausgeführt, dabei aber folgende Meldungen erhalten: "C:\WINNT\SYSTEM32\cmd.exe C:\WINNT\SYSTEM32\AUTOEXE.NT. Die Systemdatei ist nicht geeignet um Anwendungen für MS-DOS oder Microsoft Windows auszuführen. Klicken Sie "Schließen", um die Anwendung zu beenden." Ich habe dann "Ignorieren" gedrückt. Zweite Meldung: Registrierungseditor: "cleanup.reg kann nicht importiert werden: Fehler beim Öffnen der Datei. Mögliche Ursache ist ein Datenträger- oder Dateisystemfehler." Hier die Logs: 1. Log: Directory Listing of system files: Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 886C-8BEE Verzeichnis von C:\WINNT\System32 04.04.2005 15:14 <DIR> dllcache 17.03.2005 16:06 417.792 n?svc32.exe 30.09.1999 19:21 166.672 mstext35.dll 28.09.1999 21:42 1.050.896 msjet35.dll 09.09.1999 22:06 168.720 msltus35.dll 09.09.1999 22:06 252.688 msexcl35.dll 25.08.1999 14:57 415.504 msrepl35.dll 10.06.1999 09:34 123.664 msjint35.dll 10.06.1999 09:34 24.848 msjter35.dll 07.06.1999 18:59 250.128 mspdox35.dll 25.04.1999 17:00 252.176 Msrd2x35.dll 25.04.1999 17:00 287.504 Msxbse35.dll 11 Datei(en) 3.410.592 Bytes 1 Verzeichnis(se), 2.913.714.176 Bytes frei 2. Log: L2Mfix 1.02b Running From: C:\Desktop\l2mfix RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Setting registry permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Denying C access for really "Everyone" - adding new ACCESS DENY entry Registry Permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (CI) DENY --C------- Jeder (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Setting up for Reboot Starting Reboot! C:\Desktop\l2mfix System Rebooted! Running From: C:\Desktop\l2mfix killing explorer and rundll32.exe Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 708 'explorer.exe' Killing PID 708 'explorer.exe' Error 0x5 : Zugriff verweigert Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Zipping up files for submission: updating: clear.reg (92 bytes security) (deflated 2%) updating: echo.reg (92 bytes security) (deflated 5%) updating: direct.txt (92 bytes security) (stored 0%) updating: lo2.txt (92 bytes security) (deflated 71%) updating: readme.txt (104 bytes security) (deflated 49%) updating: report.txt (92 bytes security) (deflated 54%) updating: test.txt (92 bytes security) (stored 0%) updating: test2.txt (92 bytes security) (stored 0%) updating: test3.txt (92 bytes security) (stored 0%) updating: test5.txt (92 bytes security) (stored 0%) adding: log.txt (104 bytes security) (deflated 79%) adding: report_admin.txt (92 bytes security) (deflated 54%) updating: backregs/shell.reg (104 bytes security) (deflated 74%) Restoring Registry Permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Revoking access for really "Everyone" Registry permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332 The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif] "DLLName"="wzcdlg.dll" "Logon"="WZCEventLogon" "Logoff"="WZCEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000000 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** 3. Log Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif] "DLLName"="wzcdlg.dll" "Logon"="WZCEventLogon" "Logoff"="WZCEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000000 Ich danke Dir für Deine Hilfe. Grüße pepsen |
|
|
||
05.04.2005, 14:44
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@pepsen
Loesche: C:\WINNT\System32\n?svc32.exe #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann # Reconfigure Ad-Aware for Full Scan as per the following instructions: * Launch the program, and click on the Gear at the top of the start screen. * Under General Settings the following boxes should all be checked off: (Checked will be indicated by a green circle with a check mark in it, Un-Checked is a red circle with an X in it. If it is greyed out, those features are only available in the retail version.) o "Automatically save logfile" o Automatically quarantine objects prior to removal" o Safe Mode (always request confirmation) o Prompt to update outdated confirmation) - Change to 7 days. * Click the "Scanning" button (On the left side). * Under Drives & Folders, select "Scan within Archives" * Click "Click here to select Drives + folders" and select your installed hard drives. * Under Memory & Registry, select all options. * Click the "Advanced" button (On the left hand side). * Under "Shell Integration", select "Move deleted files to Recycle Bin". * Under "Log-file detail", select all options. * Click on the "Defaults" button on the left. * Type in the full url of what you want as your default homepage and searchpage e.g. http://www.google.com. * Click the "Tweak" button (Again, on the left hand side). * Expand "Scanning Engine" by clicking on the "+" (Plus) symbol and select the following: o "Unload recognized processes during scanning." o "Obtain command line of scanned processes" o "Scan registry for all users instead of current user only" * Under "Cleaning Engine", select the following: o "Automatically try to unregister objects prior to deletion." o "During removal, unload explorer and IE if necessary" o "Let Windows remove files in use at next reboot." o "Delete quarrantined objects after restoring" * Click on "Safety Settings" and select "Write-protect system files after repair (Hosts file, etc)" * Click on "Proceed" to save these Preferences. * Click on the "Scan Now" button on the left. * Under "Select Scan Mode, be sure to select "Use Custom Scanning Options". # Close all programs except ad-aware. # Click on "Next" in the bottom right corner to start the scan. # Run the Ad-Aware scan and allow it to remove everything it finds and then REBOOT - Even if not prompted to. # After you log back in, Ad-Aware may run to finalize the scan and remove any locked files that it may of found. Allow it to finish. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.04.2005, 15:51
Member
Themenstarter Beiträge: 16 |
#7
Ich habe im System32 Ordner nur die Datei: nvsvc32.exe
Kann ich die einfach löschen? |
|
|
||
05.04.2005, 16:12
Ehrenmitglied
Beiträge: 29434 |
#8
nein, das darfst du nicht, denn die nvsvc32.exe gehoert zur NVIDIA graphics card Treiber
Trojan Horse Dropper.Small.11.Z C:\WINNT\System32\n?svc32.exe •KillBox http://www.bleepingcomputer.com/files/killbox.php reinkopieren: C:\WINNT\System32\n?svc32.exe •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes" PC neustarten •Download: StartDreck http://www.greyknight17.com/spy/StartDreck.zip Unzip to its own folder and start the program: Press 'Config' Press 'mark all' Uncheck the following boxes only: System/Drivers -> NT Services System/Drivers -> NT Kernel- and FS-drivers Press 'OK' Press 'Save' and select the location to save the log file (default is the same folder as the application) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 09:40
Member
Themenstarter Beiträge: 16 |
#9
Hallo Sabina,
habe Deine Anweisungen durchgeführt und von StartDreck folgende Logfile erhalten: StartDreck (build 2.1.7 public stable) - 2005-04-06 @ 09:38:58 (GMT +02:00) Platform: Windows 2000 (Win NT 5.0.2195 Service Pack 4) Internet Explorer: 6.0.2800.1106 Logged in as Layout at ARTI1 »Registry »Run Keys »Current User »Run +nView *NVIEW=rundll32.exe nview.dll,nViewLoadHook »RunOnce »Default User »Run *internat.exe=internat.exe *ALUAlert=C:\Programme\Symantec\LiveUpdate\ALUNotify.exe »RunOnce *^SetupICWDesktop=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop »Local Machine »Run *Synchronization Manager=mobsync.exe /logon *NvCplDaemon=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize *nwiz=nwiz.exe /install *NVCLOCK=rundll32 nvclock.dll,fnNvclock *SoundMan=SOUNDMAN.EXE *NeroCheck=C:\WINNT\System32\NeroCheck.exe *OpwareSE2="C:\Programme\Canon\ScanSoft\OpwareSE2.exe" *ATIPTA=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe *ccApp="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" *URLLSTCK.exe=C:\Programme\Norton Internet Security\UrlLstCk.exe *Symantec NetDriver Monitor=C:\PROGRA~1\SYMNET~1\SNDMon.exe *TkBellExe="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot *zBrowser Launcher=C:\Programme\Logitech\iTouch\iTouch.exe *EM_EXEC=C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE +OptionalComponents +MSFS *Installed=1 +MAPI *NoChange=1 *Installed=1 +MAPI *NoChange=1 *Installed=1 »RunOnce »RunServices »RunServicesOnce »RunOnceEx »RunServicesOnceEx »File Associations (CR) +.bat *batfile="%1" %* +.com *comfile="%1" %* +.exe *exefile="%1" %* +.hta *htafile=C:\WINNT\system32\mshta.exe "%1" %* +.htm *htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome +.html *htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome +.js *JSFile=%SystemRoot%\System32\WScript.exe "%1" %* +.jse *JSEFile=%SystemRoot%\System32\WScript.exe "%1" %* +.pif *piffile="%1" %* +.reg *regfile=regedit.exe "%1" +.scr *scrfile="%1" /S +.txt *txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1 +.vbs *VBSFile=%SystemRoot%\System32\WScript.exe "%1" %* +.vbe *VBEFile=%SystemRoot%\System32\WScript.exe "%1" %* +.wsh *WSHFile=%SystemRoot%\System32\WScript.exe "%1" %* +.wsf *WSFFile=%SystemRoot%\System32\WScript.exe "%1" %* +.lnk `lnkfile= [key or value does not exist] »Active Setup (LM) +Zugang zu Internet Explorer/>{26923b43-4d38-484f-9b9e-de460746276c} *StubPath="C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE +Browseranpassungen/>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS *StubPath=RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP +Zugang zu Outlook Express/>{881dd1c5-3dcf-431b-b061-f3f88e8be88a} *StubPath="C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE +Microsoft Windows Media Player 6.4/{22d6f312-b0f6-11d0-94ab-0080c74c7e95} *StubPath=rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\mplayer2.inf,PerUserStub.NT +Microsoft Outlook Express 6/{44BBA840-CC51-11CF-AAFA-00AA00B6015C} *StubPath="%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install +NetMeeting 3.01/{44BBA842-CC51-11CF-AAFA-00AA00B6015B} *StubPath=rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT +EnableRevocation/{6A5110B5-E14B-4268-A065-EF89FF33C325} *StubPath=regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll +Adressbuch 5/{7790769C-0471-11d2-AF11-00C04FA35D02} *StubPath="%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install +Windows Desktop-Aktualisierung/{89820200-ECBD-11cf-8B85-00AA005B4340} *StubPath=regsvr32.exe /s /n /i:U shell32.dll +Internet Explorer 6/{89820200-ECBD-11cf-8B85-00AA005B4383} *StubPath=%SystemRoot%\system32\ie4uinit.exe +CRLUpdate/{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} *StubPath=%SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl »Browser Helper Objects (LM) *AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} `InprocServer32=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx *Nisbho.CNisExtBho.1/{9ECB9560-04F9-4bbc-943D-298DDF1699E1} `InprocServer32=C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll *Navbho.CNavExtBho.1/{BDF3E430-B101-42AD-A544-FADC6B084872} `InprocServer32=C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll »Internet Explorer »Current User *Local Page=C:\WINNT\system32\blank.htm *Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch *Start Page=http://www.google.de/ +SearchUrl *provider= »Default User »Local Machine *Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome *Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch *Local Page=%SystemRoot%\system32\blank.htm *Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch *CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm *SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm »ShellServiceObjectDelayLoad (LM) *Network.ConnectionTray={7007ACCF-3202-11D1-AAD2-00805FC1270E} `InprocServer32=C:\WINNT\system32\NETSHELL.dll *WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED} `InprocServer32=%SystemRoot%\system32\webcheck.dll *SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153} `InprocServer32=stobject.dll »Special NT Values »Current User *Load= *Run= *Programs=com exe bat pif cmd *SHELL= »Default User *Load= *Run= *Programs=com exe bat pif cmd *SHELL= »Local Machine *AppInit_DLLs= *SHELL=Explorer.exe *Userinit=C:\WINNT\system32\userinit.exe, »Files »Autostart Folders »Current User *C:\Dokumente und Einstellungen\Layout\Startmenü\Programme\Autostart\D-Info Starter.lnk »Default User »Local Machine *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\klickTel Januar 2004 - Schnellstarter.lnk *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk »INI-Files »WIN.INI\[windows] *LOAD= *RUN= »SYSTEM.INI\[boot] *SHELL=Explorer.exe »Text Files *C:\boot.ini `[boot loader] `timeout=30 `default=multi(0)disk(0)rdisk(0)partition(1)\WINNT `[operating systems] `multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect *C:\msdos.sys *C:\config.sys *C:\WINNT\system32\config.nt `dos=high, umb `device=%SystemRoot%\system32\himem.sys `files=20 *C:\WINNT\wininit.ini `[Rename] `NUL=C:\PROGRA~1\GXTRAN~1\GXTHRE~1.EXE `NUL=C:\WINNT\GXTRAN~1.BAKC:\WINNT\system32\mqexdlm.srg=C:\WINNT\exdl.exe `C:\WINNT\system32\javexulm.vxd=C:\WINNT\exul.exe `NUL=C:\WINNT\ADP803~1.EXE `NUL=C:\WINNT\exdl.exe `NUL=C:\WINNT\ahadp.exe *C:\WINNT\system32\drivers\etc\hosts `127.0.0.1 localhost »Program Files *C:\ntldr *C:\ntdetect.com *C:\io.sys *C:\WINNT\system32\win.com *C:\WINNT\explorer.exe »%PATH% Companion Files +C:\WINNT\system32\notepad.exe *C:\WINNT\NOTEPAD.EXE +C:\WINNT\system32\taskman.exe *C:\WINNT\TASKMAN.EXE +C:\WINNT\system32\winhlp32.exe *C:\WINNT\winhlp32.exe »System/Drivers »Running Processes +0=<idle> +8=<system> +148=<unkown> +176=<unkown> +172=<unkown> +224=<unkown> +236=<unkown> +348=<unkown> +424=<unkown> +436=<unkown> +472=<unkown> +532=<unkown> +664=<unkown> +704=<unkown> +744=<unkown> +788=<unkown> +856=<unkown> +904=<unkown> +952=<unkown> +1024=<unkown> +1060=<unkown> +1076=<unkown> +916=C:\WINNT\system32\Ati2evxx.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL +1228=C:\WINNT\Explorer.EXE *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\ADVAPI32.DLL *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\USER32.DLL *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\shim.dll *C:\WINNT\AppPatch\AcLayers.DLL *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\OLE32.DLL *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\cscui.dll *C:\WINNT\system32\CSCDLL.DLL *C:\WINNT\system32\SHDOCVW.DLL *C:\WINNT\system32\browseui.dll *C:\WINNT\system32\USERENV.DLL *C:\WINNT\system32\mydocs.dll *C:\WINNT\system32\ntshrui.dll *C:\WINNT\system32\ATL.DLL *C:\WINNT\system32\NETAPI32.DLL *C:\WINNT\system32\SECUR32.DLL *C:\WINNT\system32\NETRAP.DLL *C:\WINNT\system32\SAMLIB.DLL *C:\WINNT\system32\WS2_32.DLL *C:\WINNT\system32\WS2HELP.DLL *C:\WINNT\system32\WLDAP32.DLL *C:\WINNT\system32\DNSAPI.DLL *C:\WINNT\system32\WSOCK32.DLL *C:\WINNT\system32\MPR.DLL *C:\WINNT\System32\ntlanman.dll *C:\WINNT\System32\NETUI0.DLL *C:\WINNT\System32\NETUI1.DLL *C:\WINNT\system32\NETSHELL.dll *C:\WINNT\system32\webcheck.dll *C:\WINNT\system32\stobject.dll *C:\WINNT\system32\BATMETER.DLL *C:\WINNT\system32\SETUPAPI.DLL *C:\WINNT\system32\POWRPROF.DLL *C:\WINNT\system32\WINMM.DLL *C:\WINNT\system32\MSI.DLL *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\WININET.dll *C:\WINNT\system32\CRYPT32.dll *C:\WINNT\system32\MSASN1.DLL *C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\WINNT\system32\MSVCR70.dll *C:\PROGRA~1\MICROS~2\Office\MLSHEXT.DLL *C:\WINNT\system32\LINKINFO.DLL *C:\WINNT\system32\browselc.dll *C:\WINNT\System32\MSACM32.dll *C:\WINNT\system32\urlmon.dll *C:\WINNT\system32\mlang.dll *C:\WINNT\system32\IMM32.DLL *C:\WINNT\system32\wdmaud.drv *C:\WINNT\system32\msacm32.drv *C:\WINNT\system32\msadp32.acm *C:\WINNT\system32\shdoclc.dll *C:\WINNT\system32\CfgMgr32.dll *C:\Programme\Gemeinsame Dateien\Adobe\Shell\AIIcon.dll *C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx *C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll *C:\WINNT\system32\MSVCP70.dll *C:\WINNT\system32\mshtml.dll *C:\WINNT\system32\MSLS31.DLL *C:\WINNT\System32\webvw.dll *C:\WINNT\system32\imgutil.dll *C:\WINNT\system32\mshtmled.dll *C:\WINNT\System32\docprop2.dll *C:\WINNT\System32\MSVFW32.DLL *C:\WINNT\System32\AVIFIL32.DLL *C:\WINNT\system32\faxshell.dll *C:\WINNT\system32\USP10.DLL *C:\Programme\rarext.dll +1160=C:\WINNT\SOUNDMAN.EXE *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\SETUPAPI.dll *C:\WINNT\system32\USERENV.DLL *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL +1264=C:\Programme\Canon\ScanSoft\OpwareSE2.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\MSVCRT.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\msi.dll +844=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\ADVAPI32.DLL *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\ole32.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\Programme\ATI Technologies\ATI Control Panel\atipdsxx.dll *C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATRPUIXX.DEU *C:\WINNT\system32\cfgmgr32.dll *C:\WINNT\system32\setupapi.dll *C:\WINNT\system32\USERENV.DLL *C:\Programme\ATI Technologies\ATI Control Panel\atipdxxx.dll *C:\WINNT\system32\DINPUT8.dll *C:\WINNT\system32\HID.DLL *C:\WINNT\system32\WINMM.DLL +1388=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\COMCTL32.dll *C:\WINNT\system32\GDI32.dll *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\USER32.DLL *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\MSVCP70.dll *C:\WINNT\system32\MSVCR70.dll *C:\WINNT\system32\SHLWAPI.dll *C:\WINNT\system32\msvcrt.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\CLBCATQ.DLL *C:\Programme\Symantec\LiveUpdate\ProductRegCom.DLL *C:\Programme\Symantec\LiveUpdate\LuComServerPS.DLL *C:\WINNT\system32\msi.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccVrTrst.dll *C:\WINNT\system32\SETUPAPI.dll *C:\WINNT\system32\USERENV.DLL *C:\WINNT\system32\WSOCK32.dll *C:\WINNT\system32\WS2_32.DLL *C:\WINNT\system32\WS2HELP.DLL *C:\WINNT\system32\WinTrust.dll *C:\WINNT\system32\CRYPT32.dll *C:\WINNT\system32\MSASN1.DLL *C:\WINNT\system32\IMAGEHLP.dll *C:\WINNT\system32\rsaenh.dll *C:\WINNT\system32\secur32.dll *C:\WINNT\system32\netapi32.dll *C:\WINNT\system32\NETRAP.DLL *C:\WINNT\system32\SAMLIB.DLL *C:\WINNT\system32\WLDAP32.DLL *C:\WINNT\system32\DNSAPI.DLL *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\ASLOADER.DLL *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCALERT.DLL *C:\WINNT\system32\WINMM.dll *C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCEMLPXY.DLL *C:\WINNT\system32\MSWSOCK.dll *C:\WINNT\system32\SYMREDIR.dll *C:\WINNT\system32\SHELL32.dll *C:\PROGRA~1\NORTON~1\ISLALERT.DLL *C:\PROGRA~1\NORTON~1\NISRES.DLL *C:\WINNT\system32\WININET.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSet.dll *C:\PROGRA~1\NORTON~1\NISPROD.DLL *C:\PROGRA~1\NORTON~1\NORTON~1\CCIMSCAN.DLL *C:\WINNT\system32\ATL70.DLL *C:\PROGRA~1\NORTON~1\NORTON~1\DEFALERT.DLL *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetEvt.dll *C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.DLL *C:\PROGRA~1\NORTON~1\NORTON~1\apwutil.dll *C:\PROGRA~1\NORTON~1\NORTON~1\SAVRT32.DLL *C:\PROGRA~1\NORTON~1\SYMFWAGT.DLL *C:\PROGRA~1\NORTON~1\NISALERT.DLL *C:\WINNT\system32\SymNeti.DLL *C:\WINNT\system32\MSVCP60.dll *C:\PROGRA~1\NORTON~1\ccFWRuls.dll *C:\PROGRA~1\NORTON~1\TLevel.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProSub.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLogin.dll *C:\WINNT\system32\Msimg32.dll *C:\Programme\Norton Internet Security\Norton AntiVirus\NAVOPTRF.DLL *C:\WINNT\system32\MPR.DLL *C:\Programme\Norton Internet Security\NISLCOM.dll *C:\WINNT\System32\mstask.dll *C:\WINNT\system32\comdlg32.dll *C:\Programme\Norton Internet Security\Norton AntiVirus\apwcmdnt.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asFilter.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPxyEvt.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asUniPlg.dll *C:\WINNT\system32\MAPI32.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asSpmEvt.dll *C:\WINNT\System32\rnr20.dll *C:\WINNT\system32\iphlpapi.dll *C:\WINNT\system32\ICMP.DLL *C:\WINNT\system32\MPRAPI.DLL *C:\WINNT\system32\ACTIVEDS.DLL *C:\WINNT\system32\ADSLDPC.DLL *C:\WINNT\system32\RTUTILS.DLL *C:\WINNT\system32\RASAPI32.DLL *C:\WINNT\system32\RASMAN.DLL *C:\WINNT\system32\TAPI32.DLL *C:\WINNT\system32\DHCPCSVC.DLL *C:\WINNT\System32\winrnr.dll *C:\WINNT\system32\rasadhlp.dll *C:\WINNT\system32\msafd.dll *C:\WINNT\System32\wshtcpip.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\iraLSCl2.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\LiveReg\IraVcLc3.dll *C:\WINNT\system32\cscui.dll *C:\WINNT\system32\CSCDLL.DLL *C:\WINNT\system32\SHFolder.dll *C:\Programme\Symantec\LiveUpdate\NetDetectController.DLL *C:\WINNT\system32\WINSPOOL.DRV *C:\Programme\Norton Internet Security\Norton AntiVirus\NavEmail.dll *C:\Programme\Norton Internet Security\NisEmail.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\DPHTML.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\SymIConv.dll *C:\PROGRA~1\NORTON~1\NORTON~1\NAVOpts.dll *C:\PROGRA~1\NORTON~1\NORTON~1\N32Exclu.dll *C:\PROGRA~1\NORTON~1\NORTON~1\S32NAVO.DLL *C:\Programme\Norton Internet Security\Norton AntiVirus\NAVError.dll *C:\Programme\Norton Internet Security\Norton AntiVirus\NAVAPSCR.dll +1428=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\shell32.dll *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\COMCTL32.DLL *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\cscui.dll *C:\WINNT\system32\CSCDLL.DLL *C:\WINNT\system32\NTMARTA.DLL *C:\WINNT\system32\WINSPOOL.DRV *C:\WINNT\system32\MPR.DLL *C:\WINNT\system32\WLDAP32.dll *C:\WINNT\system32\SAMLIB.dll *C:\WINNT\system32\NTDSAPI.dll *C:\WINNT\system32\DNSAPI.DLL *C:\WINNT\system32\WSOCK32.DLL *C:\WINNT\system32\WS2_32.DLL *C:\WINNT\system32\WS2HELP.DLL *C:\WINNT\system32\NETAPI32.DLL *C:\WINNT\system32\SECUR32.DLL *C:\WINNT\system32\NETRAP.DLL +1452=C:\Programme\Logitech\iTouch\iTouch.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\WINMM.dll *C:\WINNT\system32\USER32.DLL *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\ADVAPI32.DLL *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\MFC42.DLL *C:\WINNT\system32\MSVCRT.dll *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\MSVCP60.dll *C:\WINNT\system32\MFC42LOC.DLL *C:\Programme\Logitech\iTouch\iTouchrc.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\HID.DLL *C:\WINNT\system32\SETUPAPI.DLL *C:\WINNT\system32\USERENV.DLL *C:\WINNT\system32\wdmaud.drv +1460=C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE *C:\WINNT\system32\ntdll.dll *C:\PROGRA~1\MOUSEW~1\SYSTEM\MFC30.DLL *C:\WINNT\system32\MSVCRT20.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\ADVAPI32.DLL *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\comdlg32.dll *C:\WINNT\system32\WINSPOOL.DRV *C:\WINNT\system32\MPR.DLL *C:\WINNT\system32\ole32.dll *C:\PROGRA~1\MOUSEW~1\SYSTEM\EVENTEX.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\COMNCTR.dll *C:\WINNT\system32\Logilang.dll *C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\Programme\MouseWare\SYSTEM\ccresrce.dll *C:\Programme\MouseWare\SYSTEM\ccustom.dll *C:\Programme\MouseWare\SYSTEM\ccresglb.dll *C:\Programme\MouseWare\SYSTEM\ccstmglb.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\Programme\MouseWare\System\devices.dll *C:\PROGRA~1\MOUSEW~1\SYSTEM\ccmsghk.dll +1488=C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\ADVAPI32.DLL *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\COMCTL32.DLL *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL +1528=C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\kernel32.dll *C:\WINNT\system32\user32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\advapi32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\oleaut32.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\version.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\comctl32.dll *C:\WINNT\system32\shell32.dll *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll +1500=C:\Programme\D-info_2003\D-Info\dinfostarter.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\ADVAPI32.DLL *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\WS2_32.DLL *C:\WINNT\system32\WS2HELP.DLL *C:\WINNT\system32\msafd.dll *C:\WINNT\System32\wshtcpip.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL +1776=C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE *C:\WINNT\system32\ntdll.dll *C:\PROGRA~1\MICROS~2\Office\OUTLLIB.dll *C:\WINNT\system32\MSVCRT.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\RPCRT4.dll *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\GDI32.dll *C:\WINNT\system32\USER32.DLL *C:\WINNT\system32\COMCTL32.dll *C:\PROGRA~1\MICROS~2\Office\MSO9.DLL *C:\WINNT\system32\shim.dll *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\WINNT\system32\MSVCR70.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\PROGRA~1\MICROS~2\Office\1031\outllibr.dll *C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\omint.dll *C:\WINNT\system32\MPR.dll *C:\WINNT\system32\SHLWAPI.dll *C:\PROGRA~1\MICROS~2\Office\OUTLRPC.dll *C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\PSTPRX32.DLL *C:\WINNT\system32\SHELL32.dll *C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\OMIPSTNT.DLL *C:\Programme\Microsoft Office\Office\SBCMSYNC.DLL *C:\Programme\D-info_2003\D-Info\outlookbtn.dll *C:\Programme\Gemeinsame Dateien\System\MAPI\1031\NT\ExSec32.dll *C:\WINNT\system32\riched20.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\mlang.dll *C:\PROGRA~1\klickTel\KLICKT~1\ktOutlkA.dll *C:\WINNT\system32\winspool.drv *C:\PROGRA~1\klickTel\KLICKT~1\ktAddin.dll *C:\WINNT\system32\wininet.dll *C:\WINNT\system32\CRYPT32.dll *C:\WINNT\system32\MSASN1.DLL *C:\WINNT\system32\comdlg32.dll *C:\WINNT\system32\winmm.dll *C:\PROGRA~1\klickTel\KLICKT~1\IELIB.DLL *C:\PROGRA~1\klickTel\KLICKT~1\KSDB32.DLL *C:\WINNT\system32\TAPI32.DLL *C:\WINNT\system32\olepro32.dll *C:\WINNT\system32\VPES32.DLL *C:\WINNT\System32\hhctrl.ocx *C:\WINNT\System32\mui\0007\hhctrlui.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\MsouPlug.dll *C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPI32.dll *C:\WINNT\system32\MSVCP70.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccVrTrst.dll *C:\WINNT\system32\SETUPAPI.dll *C:\WINNT\system32\USERENV.DLL *C:\WINNT\system32\WSOCK32.dll *C:\WINNT\system32\WS2_32.DLL *C:\WINNT\system32\WS2HELP.DLL *C:\WINNT\system32\WinTrust.dll *C:\WINNT\system32\IMAGEHLP.dll *C:\WINNT\system32\rsaenh.dll *C:\WINNT\system32\secur32.dll *C:\WINNT\system32\netapi32.dll *C:\WINNT\system32\NETRAP.DLL *C:\WINNT\system32\SAMLIB.DLL *C:\WINNT\system32\WLDAP32.DLL *C:\WINNT\system32\DNSAPI.DLL *C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSet.dll *C:\WINNT\system32\msi.dll *C:\WINNT\system32\imm32.dll *C:\WINNT\system32\msoeacct.dll *C:\WINNT\system32\MSOERT2.dll *C:\WINNT\system32\acctres.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\asUniPlg.dll *C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll *C:\WINNT\system32\inetcomm.dll *C:\WINNT\system32\inetres.dll *C:\WINNT\system32\PSTOREC.DLL *C:\WINNT\system32\ATL.DLL *C:\WINNT\System32\rnr20.dll *C:\WINNT\system32\iphlpapi.dll *C:\WINNT\system32\ICMP.DLL *C:\WINNT\system32\MPRAPI.DLL *C:\WINNT\system32\ACTIVEDS.DLL *C:\WINNT\system32\ADSLDPC.DLL *C:\WINNT\system32\RTUTILS.DLL *C:\WINNT\system32\RASAPI32.DLL *C:\WINNT\system32\RASMAN.DLL *C:\WINNT\system32\DHCPCSVC.DLL *C:\WINNT\System32\winrnr.dll *C:\WINNT\system32\rasadhlp.dll *C:\WINNT\system32\msafd.dll *C:\WINNT\System32\wshtcpip.dll *C:\PROGRA~1\MICROS~2\Office\OUTLMIME.DLL *C:\PROGRA~1\MICROS~2\Office\RTFHTML.DLL *C:\WINNT\system32\wdmaud.drv *C:\WINNT\system32\msacm32.drv *C:\WINNT\system32\MSACM32.dll *C:\WINNT\system32\shdocvw.dll *C:\Programme\Gemeinsame Dateien\System\wab32.dll *C:\Programme\Gemeinsame Dateien\System\wab32res.dll *C:\WINNT\System32\OUTLWAB.DLL +748=C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\Illustrator.exe *C:\WINNT\system32\ntdll.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\CoolType.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\WINMM.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\BIB.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\BIBUtils.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\PDFL50.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\ACE.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\AGM.dll *C:\WINNT\system32\WINSPOOL.DRV *C:\WINNT\system32\MPR.DLL *C:\WINNT\system32\comdlg32.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\OPP.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\MPS.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\Asn.er.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\System\AI90Res.dll *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\WINNT\system32\MSVCR70.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\OLEAUT32.dll *C:\Programme\Gemeinsame Dateien\Adobe\Workflow\Arm.dll *C:\WINNT\system32\mscms.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\ATMLIB.dll *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Photoshop-Adapter.aip *C:\WINNT\system32\shfolder.dll *C:\Programme\Gemeinsame Dateien\Adobe\Web\AdobeWeb.dll *C:\WINNT\system32\cscui.dll *C:\WINNT\system32\CSCDLL.DLL *C:\Programme\Adobe\Illustrator 10\Support Files\Required\ADM.aip *C:\WINNT\system32\IMM32.dll *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Aktion.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\ZString.apl *C:\Programme\Adobe\Illustrator 10\Support Files\Required\FWServer.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\ASLib.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\ASDataStream.apl *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Art Style.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Bestände.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Ebenen-Palette.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Grafikattribute-Palette.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Objekt transformieren.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Aktionen-Palette.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\BrushManager.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Datei- & Zwischenablage-Einstellungen.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Tool Selector.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\VariablesPalette.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Illustrator-Formate - Standard\SVG-Dateiformat.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\SVGRE.dll *C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\svgexport.dll *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Flare.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Symbole.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Geometrie.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Objekt erstellen-Suite.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\PathFinder Suite.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Pfade erstellen-Suite.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Umwandeln-Suite.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Magnetische Hilfslinien.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Illustrator-Formate - Standard\Für Web speichern.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Magic Wand.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Illustrator-Filter\Pathfinder.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Transparenz-Palette.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Transformationen-Palette.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Symbol Palette.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\SVG Filter Effect.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Slicing.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\ScriptingSupport.aip *C:\WINNT\system32\ATL.DLL *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Navigator.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Multiple Master Design.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Links Palette.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Einzeln transformieren.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Dokumentinformationen.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Ausrichten-Palette.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Asset Mgmt.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Werkzeugpalette.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\MPSCommon.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\In Pixelbild umwandeln.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\Angleichungen.aip *C:\Programme\Adobe\Illustrator 10\Support Files\Required\ADMEveParser.apl *C:\WINNT\system32\spool\DRIVERS\W32X86\3\CNMUIyd.DLL *C:\WINNT\system32\MSIMG32.dll *C:\WINNT\system32\spool\DRIVERS\W32X86\3\CNMDRyd.DLL *C:\Programme\Adobe\Illustrator 10\Support Files\Required\PNGIcons.apl *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Hüllen und Verkrümmen.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Buntstift-Werkzeug.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Werkzeuge\Begrenzungsrahmen.aip *C:\Programme\Adobe\Illustrator 10\Zusatzmodule\Erweiterungen\Adobe Online.aip *C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll +1340=C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\comdlg32.dll *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\SHELL32.DLL *C:\WINNT\system32\WINSPOOL.DRV *C:\WINNT\system32\MPR.DLL *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\WININET.dll *C:\WINNT\system32\CRYPT32.dll *C:\WINNT\system32\MSASN1.DLL *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\WINNT\system32\MSVCR70.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\cscui.dll *C:\WINNT\system32\CSCDLL.DLL +1648=C:\Programme\Internet Explorer\iexplore.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\KERNEL32.dll *C:\WINNT\system32\USER32.dll *C:\WINNT\system32\GDI32.DLL *C:\WINNT\system32\SHLWAPI.dll *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\SHDOCVW.dll *C:\WINNT\system32\comctl32.dll *C:\WINNT\system32\SHELL32.dll *C:\WINNT\system32\ole32.dll *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\WINNT\system32\MSVCR70.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\BROWSEUI.dll *C:\WINNT\system32\browselc.dll *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\WININET.dll *C:\WINNT\system32\CRYPT32.dll *C:\WINNT\system32\MSASN1.DLL *C:\WINNT\system32\cscui.dll *C:\WINNT\system32\CSCDLL.DLL *C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll *C:\WINNT\system32\ATL.DLL *C:\WINNT\system32\MSVCP70.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll *C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx *C:\WINNT\system32\msi.dll *C:\WINNT\system32\urlmon.dll *C:\WINNT\system32\shdoclc.dll *C:\WINNT\system32\mlang.dll *C:\WINNT\system32\wsock32.dll *C:\WINNT\system32\WS2_32.DLL *C:\WINNT\system32\WS2HELP.DLL *C:\WINNT\system32\msafd.dll *C:\WINNT\System32\wshtcpip.dll *C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll *C:\WINNT\system32\RASAPI32.DLL *C:\WINNT\system32\RASMAN.DLL *C:\WINNT\system32\TAPI32.DLL *C:\WINNT\system32\RTUTILS.DLL *C:\WINNT\system32\sensapi.dll *C:\WINNT\system32\USERENV.DLL *C:\WINNT\system32\netapi32.dll *C:\WINNT\system32\SECUR32.DLL *C:\WINNT\system32\NETRAP.DLL *C:\WINNT\system32\SAMLIB.DLL *C:\WINNT\system32\WLDAP32.DLL *C:\WINNT\system32\DNSAPI.DLL *C:\WINNT\System32\rnr20.dll *C:\WINNT\system32\iphlpapi.dll *C:\WINNT\system32\ICMP.DLL *C:\WINNT\system32\MPRAPI.DLL *C:\WINNT\system32\ACTIVEDS.DLL *C:\WINNT\system32\ADSLDPC.DLL *C:\WINNT\system32\SETUPAPI.DLL *C:\WINNT\system32\DHCPCSVC.DLL *C:\WINNT\System32\winrnr.dll *C:\WINNT\system32\rasadhlp.dll *C:\WINNT\system32\mshtml.dll *C:\WINNT\system32\MSLS31.DLL *C:\WINNT\system32\IMM32.DLL *C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\scrauth.dll *C:\WINNT\system32\imgutil.dll *C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll *C:\WINNT\system32\wintrust.dll *C:\WINNT\system32\IMAGEHLP.dll *C:\WINNT\system32\pngfilt.dll *C:\WINNT\system32\rsaenh.dll *c:\winnt\system32\jscript.dll *C:\WINNT\system32\mshtmled.dll +552=C:\Programme\WinRAR.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\ADVAPI32.DLL *C:\WINNT\system32\KERNEL32.DLL *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\COMCTL32.DLL *C:\WINNT\system32\GDI32.dll *C:\WINNT\system32\USER32.DLL *C:\WINNT\system32\COMDLG32.DLL *C:\WINNT\system32\SHLWAPI.DLL *C:\WINNT\system32\msvcrt.dll *C:\WINNT\system32\SHELL32.DLL *C:\WINNT\system32\OLE32.DLL *C:\WINNT\system32\riched32.dll *C:\WINNT\system32\RICHED20.dll *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\WINNT\system32\MSVCR70.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\cscui.dll *C:\WINNT\system32\CSCDLL.DLL *C:\WINNT\system32\MPR.DLL *C:\WINNT\System32\ntlanman.dll *C:\WINNT\System32\NETUI0.DLL *C:\WINNT\System32\NETUI1.DLL *C:\WINNT\System32\NETAPI32.DLL *C:\WINNT\System32\SECUR32.DLL *C:\WINNT\System32\NETRAP.DLL *C:\WINNT\System32\SAMLIB.DLL *C:\WINNT\System32\WS2_32.DLL *C:\WINNT\System32\WS2HELP.DLL *C:\WINNT\system32\WLDAP32.DLL *C:\WINNT\System32\DNSAPI.DLL *C:\WINNT\System32\WSOCK32.DLL *C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll *C:\WINNT\system32\MSI.DLL +292=C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\StartDreck.exe *C:\WINNT\system32\ntdll.dll *C:\WINNT\system32\KERNEL32.DLL *C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\VB40032.DLL *C:\WINNT\system32\ADVAPI32.dll *C:\WINNT\system32\RPCRT4.DLL *C:\WINNT\system32\GDI32.dll *C:\WINNT\system32\USER32.DLL *C:\WINNT\system32\MSVCRT20.dll *C:\WINNT\system32\ole32.dll *C:\WINNT\system32\OLEAUT32.dll *C:\WINNT\system32\OLEPRO32.DLL *C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\VB4DE32.DLL *C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll *C:\WINNT\system32\MSVCR70.dll *C:\Programme\Canon\ScanSoft\ophookSE2.dll *C:\WINNT\system32\VERSION.dll *C:\WINNT\system32\LZ32.DLL *C:\WINNT\system32\CLBCATQ.DLL *C:\WINNT\system32\MSVCRT.dll *C:\PROGRA~1\MOUSEW~1\SYSTEM\LgMousHk.dll *C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.813\PSAPI.DLL »VMM32Files (LM) »%System%\VMM32 »%System%\IOSUBSYS »Application specific »MS Office 97/8.0 STARTUP-PATH »Current User »Default User »Local Machine »ICQ NetDetect »Current User »Default User Kannst Du damit was anfangen, denn die rechte Maustaste funktioniert immer noch nicht und auch die Icons erscheinen immer noch 2x auf dem Desktop. Danke Dir! |
|
|
||
06.04.2005, 10:39
...neu hier
Beiträge: 2 |
#10
Ich habe einen hijack gemacht und ich bitte euch nun diesen zu beurteilen.
Wie kann ich Trojaner wie z.B.sp2ctr am Besten entfernen? Gruß battery Logfile of HijackThis v1.99.1 Scan saved at 10:25:35, on 06.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\windows\system32\sp2ctr.exe C:\windows\system32\evthtm.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\ATI Multimedia\main\ATIDtct.EXE C:\Programme\Realtek\Rtl8180\RtlWake.exe C:\Programme\SlimBrowser\sbrowser.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\SANDRO~1\LOKALE~1\Temp\Rar$EX00.692\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RtlWake.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/puzzlepirates/miniclipGameLoader.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
|
|
||
06.04.2005, 11:14
Member
Themenstarter Beiträge: 16 |
#11
Hallo battery,
bin leider selbst noch mit meinem Hijacker/Trojaner am kämpfen. Kann Dir also nicht wirklich weiterhelfen. Vielleicht befolgst Du die Anleitungen, die Sabina auch mir gegeben hat. Als ich gemerkt habe, dass mein Rechner infiziert ist, habe ich AdAware über das System laufen gelassen und alle Dateien gelöscht. Außerdem habe ich das Logfile auf www.hijackthis.de prüfen lassen und auch hier alle "bösartigen" Eintröge gefixt. Aber leider ist mein System immer noch nicht in Ordnung. Es tut mir sehr leid, dass ich Dir nicht wirklich weiterhelfen kann. Grüße pepsen |
|
|
||
06.04.2005, 12:11
Member
Themenstarter Beiträge: 16 |
#12
@Sabina,
habe AdAware über mein System laufen gelassen und folgende Logfile erhalten: Ad-Aware SE Build 1.05 Protokolldatei erstellt am:Mittwoch, 6. April 2005 09:58:03 Verwendete Definitionsdatei:SE1R36 01.04.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Während des Scannings identifizierte Referenzen: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Alexa(TAC-Index:5):1 Referenzen insgesamt ClearSearch(TAC-Index:7):2 Referenzen insgesamt CoolWebSearch(TAC-Index:10):4 Referenzen insgesamt MRU List(TAC-Index:0):30 Referenzen insgesamt Tracking Cookie(TAC-Index:3):7 Referenzen insgesamt »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Festlegen : Nach unbedeutenden Risikoeinträgen suchen Festlegen : Sicherer Modus (stets Bestätigung abfragen) Festlegen : Aktive Prozesse scannen Festlegen : Registrierung scannen Festlegen : Registrierung gründlich scannen Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen Festlegen : Hosts-Datei scannen Extended Ad-Aware SE Settings =========================== Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf. Festlegen : Übergreifende Dateien beim Scanning von CAP-Archiven ignorieren Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf. Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen Festlegen : Popups aggressiv blocken Festlegen : Problematische Objekte in der Ergebnisliste automatisch auswählen Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren Festlegen : Referenz-Zusammenfassung protokollieren Festlegen : Details zu alternativen Datenströmen protokollieren Festlegen : Begrüßungsseite anzeigen Festlegen : Aktuelle Definitionsdatei vor der Aktualisierung sichern Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen 06.04.2005 09:58:03 - Scanning wurde gestartet. (Vollständiger Systemscan) MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\nvidia corporation\global\nview\windowmanagement Beschreibung : nvidia nview cached application window positions MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\adobe\photoshop\7.0\visiteddirs Beschreibung : adobe photoshop 7 recent work folders MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\applets\wordpad\recent file list Beschreibung : list of recent files opened using wordpad MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\applets\paint\recent file list Beschreibung : list of files recently opened using microsoft paint MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\runmru Beschreibung : mru list for items opened in start | run MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Beschreibung : list of recently saved files, stored according to file extension MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Beschreibung : list of recent programs opened MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\explorer\recentdocs Beschreibung : list of recent documents opened MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\office\9.0\excel\recent files Beschreibung : list of recent files used by microsoft excel MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\office\9.0\publisher\recent file list Beschreibung : list of recent files used by microsoft publisher MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\adobe\adobe acrobat\5.0\avgeneral\crecentfiles Beschreibung : list of recently used files in adobe acrobat MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer\main Beschreibung : last save directory used in microsoft internet explorer MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\realnetworks\realplayer\6.0\preferences Beschreibung : list of recent skins in realplayer MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer Beschreibung : last download directory used in microsoft internet explorer MRU List Objekt erkannt! Pfad: : software\microsoft\directdraw\mostrecentapplication Beschreibung : most recent application to use microsoft directdraw MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\microsoft management console\recent file list Beschreibung : list of recent snap-ins used in the microsoft management console MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer\typedurls Beschreibung : list of recently entered addresses in microsoft internet explorer MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\directinput\mostrecentapplication Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\mediaplayer\player\settings Beschreibung : last open directory used in jasc paint shop pro MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct3d MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\realnetworks\realplayer\6.0\preferences Beschreibung : list of recent clips in realplayer MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows\currentversion\applets\regedit Beschreibung : last key accessed using the microsoft registry editor MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\macromedia\dreamweaver 6\recent file list Beschreibung : list of recently used files in macromedia dreamweaver MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\directinput\mostrecentapplication Beschreibung : most recent application to use microsoft directinput MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\realnetworks\realplayer\6.0\preferences Beschreibung : last login time in realplayer MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\mediaplayer\player\recenturllist Beschreibung : list of recently used web addresses in microsoft windows media player MRU List Objekt erkannt! Pfad: : software\microsoft\direct3d\mostrecentapplication Beschreibung : most recent application to use microsoft direct X MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\winrar\dialogedithistory\extrpath Beschreibung : winrar "extract-to" history MRU List Objekt erkannt! Pfad: : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\windows media\wmsdk\general Beschreibung : windows media sdk MRU List Objekt erkannt! Pfad: : C:\Dokumente und Einstellungen\Layout\recent Beschreibung : list of recently opened documents Liste der laufenden Prozesse »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [ati2evxx.exe] FilePath : C:\WINNT\system32\ ProcessID : 916 ThreadCreationTime : 06.04.2005 07:23:37 BasePriority : Normal #:2 [explorer.exe] FilePath : C:\WINNT\ ProcessID : 1228 ThreadCreationTime : 06.04.2005 07:23:37 BasePriority : Normal FileVersion : 5.00.3700.6690 ProductVersion : 5.00.3700.6690 ProductName : Betriebssystem Microsoft(R) Windows (R) 2000 CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999 OriginalFilename : EXPLORER.EXE #:3 [soundman.exe] FilePath : C:\WINNT\ ProcessID : 1160 ThreadCreationTime : 06.04.2005 07:23:44 BasePriority : Normal FileVersion : 5.0.14 ProductVersion : 5.0.14 ProductName : Realtek Sound Manager CompanyName : Realtek Semiconductor Corp. FileDescription : Realtek Sound Manager InternalName : ALSMTray LegalCopyright : Copyright (c) 2001-2002 Realtek Semiconductor Corp. OriginalFilename : ALSMTray.exe Comments : Realtek AC97 Audio Sound Manager #:4 [opwarese2.exe] FilePath : C:\Programme\Canon\ScanSoft\ ProcessID : 1264 ThreadCreationTime : 06.04.2005 07:23:46 BasePriority : Normal FileVersion : 12.0 ProductVersion : 2.0 ProductName : OmniPage SE CompanyName : ScanSoft, Inc. FileDescription : OCR Aware (32-bit) InternalName : OPWARE12.EXE LegalCopyright : Copyright © 1995-2003 ScanSoft, Inc. LegalTrademarks : ScanSoft, OmniPage and OmniPage SE are registered trademarks of ScanSoft, Inc. in the United States and/or other countries. OriginalFilename : OPWARE12.EXE #:5 [atiptaxx.exe] FilePath : C:\Programme\ATI Technologies\ATI Control Panel\ ProcessID : 844 ThreadCreationTime : 06.04.2005 07:23:48 BasePriority : Normal FileVersion : 6.14.10.5090 ProductVersion : 6.14.10.5090 ProductName : ATI Desktop Component CompanyName : ATI Technologies, Inc. FileDescription : ATI Desktop Control Panel InternalName : Atiptaxx.exe LegalCopyright : Copyright (C) 1998-2004 ATI Technologies Inc. OriginalFilename : Atiptaxx.exe #:6 [ccapp.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\ ProcessID : 1388 ThreadCreationTime : 06.04.2005 07:23:48 BasePriority : Normal FileVersion : 2.1.6.3 ProductVersion : 2.1.6.3 ProductName : Common Client CompanyName : Symantec Corporation FileDescription : Common Client User Session InternalName : ccApp LegalCopyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved. OriginalFilename : ccApp.exe #:7 [realsched.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 1428 ThreadCreationTime : 06.04.2005 07:23:54 BasePriority : Normal FileVersion : 0.1.0.3208 ProductVersion : 0.1.0.3208 ProductName : RealPlayer (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:8 [itouch.exe] FilePath : C:\Programme\Logitech\iTouch\ ProcessID : 1452 ThreadCreationTime : 06.04.2005 07:23:57 BasePriority : Normal FileVersion : 1.80.466 ProductVersion : 1.80 ProductName : iTouch CompanyName : Logitech Inc. FileDescription : iTouch Application InternalName : iTouch LegalCopyright : Copyright © Logitech Inc. 1998-2001. LegalTrademarks : Logitech® and iTouch® are registered trademarks of Logitech Inc. OriginalFilename : iTouch.exe Comments : #:9 [em_exec.exe] FilePath : C:\PROGRA~1\MOUSEW~1\SYSTEM\ ProcessID : 1460 ThreadCreationTime : 06.04.2005 07:23:58 BasePriority : Normal FileVersion : 9.40.139 ProductVersion : 9.40 ProductName : MouseWare CompanyName : Logitech Inc. FileDescription : Control Center InternalName : EM_EXEC LegalCopyright : Copyright © Logitech Inc. 1987-2001. LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc. OriginalFilename : EM_EXEC.CPP Comments : Created by the MouseWare Team #:10 [acrotray.exe] FilePath : C:\Programme\Adobe\Acrobat 5.0\Distillr\ ProcessID : 1488 ThreadCreationTime : 06.04.2005 07:24:00 BasePriority : Normal FileVersion : 5, 0, 0, 0 ProductVersion : 5, 0, 0, 0 ProductName : AcroTray - Adobe Acrobat Distiller helper application. CompanyName : Adobe Systems Inc. FileDescription : AcroTray InternalName : AcroTray LegalCopyright : Copyright © 2001 OriginalFilename : AcroTray.exe #:11 [kstart32.exe] FilePath : C:\Programme\klickTel\klickTel Januar 2004\ ProcessID : 1528 ThreadCreationTime : 06.04.2005 07:24:08 BasePriority : Normal FileVersion : 7.0.0.0 ProductVersion : 6.00 ProductName : Schnellstarter für klickTel Mai 99 CompanyName : klickTel GmbH LegalCopyright : klickTel GmbH #:12 [dinfostarter.exe] FilePath : C:\Programme\D-info_2003\D-Info\ ProcessID : 1500 ThreadCreationTime : 06.04.2005 07:24:12 BasePriority : Normal FileVersion : 2003.03.1.67 Mar 23 2003 ProductVersion : 2003.03.1.67 Mar 23 2003 ProductName : D-Info CompanyName : Buhl Data Service FileDescription : AutoStart Service startet http-server bei connect InternalName : dinfostarter LegalCopyright : (C) 2002-2003 Buhl Data Service OriginalFilename : dinfostarter.exe #:13 [outlook.exe] FilePath : C:\PROGRA~1\MICROS~2\Office\ ProcessID : 1776 ThreadCreationTime : 06.04.2005 07:24:35 BasePriority : Normal #:14 [illustrator.exe] FilePath : C:\Programme\Adobe\Illustrator 10\Support Files\Contents\Windows\ ProcessID : 748 ThreadCreationTime : 06.04.2005 07:29:21 BasePriority : Normal FileVersion : 10.0.3 ProductVersion : 10.0.3 ProductName : Adobe Illustrator CompanyName : Adobe Systems, Inc. FileDescription : Adobe Illustrator InternalName : Illustrator10 LegalCopyright : © 1987-2001 Adobe Systems Incorporated. All rights reserved. OriginalFilename : Illustrator10.exe #:15 [aom.exe] FilePath : C:\Programme\Gemeinsame Dateien\Adobe\Web\ ProcessID : 1340 ThreadCreationTime : 06.04.2005 07:29:42 BasePriority : Normal FileVersion : 2.7.2.6 ProductVersion : 2.7.2.6 ProductName : AOM Application CompanyName : Adobe Systems, Incorporated FileDescription : AOM MFC Application InternalName : AOM LegalCopyright : Copyright © 1998-2000 Adobe Systems, Incorporated. All rights reserved. OriginalFilename : AOM.EXE #:16 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Professional\ ProcessID : 1536 ThreadCreationTime : 06.04.2005 07:45:49 BasePriority : Normal FileVersion : 6.2.0.208 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved #:17 [iexplore.exe] FilePath : C:\Programme\Internet Explorer\ ProcessID : 1692 ThreadCreationTime : 06.04.2005 07:47:29 BasePriority : Normal FileVersion : 6.00.2800.1106 ProductVersion : 6.00.2800.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Internet Explorer InternalName : iexplore LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : IEXPLORE.EXE Ergebnis des Arbeitsspeicherscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 30 Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CoolWebSearch Objekt erkannt! Typ : Regkey Daten : Kategorie : Malware Kommentar : ROOTKEY : HKEY_USERS Objekt : S-1-5-21-1123561945-527237240-682003330-1000\software\serg Alexa Objekt erkannt! Typ : RegValue Daten : Kategorie : Data Miner Kommentar : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" ROOTKEY : HKEY_USERS Objekt : S-1-5-21-1123561945-527237240-682003330-1000\software\microsoft\internet explorer\extensions\cmdmapping Wert : {c95fe080-8f5d-11d2-a20b-00aa003c157a} Ergebnis des Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 2 Bisher gefundene Objekte: 32 Gründlicher Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des gründlichen Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 32 Tracking Cookie-Scan wurde gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : layout@mediaplex[1].txt Kategorie : Data Miner Kommentar : Hits:1 Wert : Cookie:layout@mediaplex.com/ Expires : 22.06.2009 02:00:00 LastSync : Hits:1 UseCount : 0 Hits : 1 Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : layout@doubleclick[1].txt Kategorie : Data Miner Kommentar : Hits:1 Wert : Cookie:layout@doubleclick.net/ Expires : 29.03.2005 09:50:06 LastSync : Hits:1 UseCount : 0 Hits : 1 Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : layout@as1.falkag[1].txt Kategorie : Data Miner Kommentar : Hits:5 Wert : Cookie:layout@as1.falkag.de/ Expires : 06.04.2005 10:37:28 LastSync : Hits:5 UseCount : 0 Hits : 5 Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : layout@spylog[1].txt Kategorie : Data Miner Kommentar : Hits:1 Wert : Cookie:layout@spylog.com/ Expires : 27.09.2005 14:41:36 LastSync : Hits:1 UseCount : 0 Hits : 1 Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : layout@cgi-bin[2].txt Kategorie : Data Miner Kommentar : Hits:6 Wert : Cookie:layout@imrworldwide.com/cgi-bin Expires : 02.04.2015 09:21:18 LastSync : Hits:6 UseCount : 0 Hits : 6 Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : layout@ehg-systemax.hitbox[1].txt Kategorie : Data Miner Kommentar : Hits:3 Wert : Cookie:layout@ehg-systemax.hitbox.com/ Expires : 31.03.2006 14:43:18 LastSync : Hits:3 UseCount : 0 Hits : 3 Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : layout@hitbox[1].txt Kategorie : Data Miner Kommentar : Hits:7 Wert : Cookie:layout@hitbox.com/ Expires : 31.03.2006 14:43:18 LastSync : Hits:7 UseCount : 0 Hits : 7 Ergebnis des Tracking Cookie-Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 7 Bisher gefundene Objekte: 39 Dateien werden gründlich gescannt und überprüft (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» ClearSearch Objekt erkannt! Typ : Datei Daten : rtso.exe Kategorie : Data Miner Kommentar : Objekt : C:\Dokumente und Einstellungen\Layout\Anwendungsdaten\ Ergebnis d. Datenträgerscans für C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 40 Dateien werden gründlich gescannt und überprüft (E »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für E:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 40 Dateien werden gründlich gescannt und überprüft (F »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für F:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 40 Bedingte Scans werden durchgeführt... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CoolWebSearch Objekt erkannt! Typ : Regkey Daten : Kategorie : Malware Kommentar : ROOTKEY : HKEY_CURRENT_USER Objekt : software\serg CoolWebSearch Objekt erkannt! Typ : Regkey Daten : Kategorie : Malware Kommentar : ROOTKEY : HKEY_CURRENT_USER Objekt : software\pop CoolWebSearch Objekt erkannt! Typ : RegValue Daten : Kategorie : Malware Kommentar : ROOTKEY : HKEY_CURRENT_USER Objekt : software\microsoft\internet explorer\main Wert : Enable Browser Extensions ClearSearch Objekt erkannt! Typ : RegValue Daten : Kategorie : Data Miner Kommentar : ROOTKEY : HKEY_CURRENT_USER Objekt : software\microsoft\internet explorer\urlsearchhooks Wert : {CFBFAE00-17A6-11D0-99CB-00C04FD64497} Ergebnis des bedingten Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 4 Bisher gefundene Objekte: 44 10:04:44 Scan abgeschlossen Scanzusammenfassung »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Scandauer insges.:00:06:40.766 Gescannte Objekte:102712 Identifizierte Objekte:14 Ignorierte Objekte:0 Neue kritische Objekte:14 Ich habe alle kritischen Dateien, u.a Coolwebsearch entfernt, dennoch klappt nach wie vor die rechte Maustaste nicht und der Desktop mach mir auch immer noch Probleme. So, dann habe ich Deine Anweisungen befolgt und wollte die Keys in der Reg. löschen, habe aber keine mehr gefunden. Auch die Killbox gibt mir bei allen Dateien die Meldung dass die Dateien nicht existieren ("This file does not seem to exist). AdAware zeigt mir an, dass ich auch den CoolWebSearch Virus habe. Kann ich sonst noch was tun? Danke Dir! |
|
|
||
06.04.2005, 12:23
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@battery,
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm O4 - HKLM\..\Run: [EvtHtm] c:\windows\system32\evthtm.exe /nocomm O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/puzzlepirates/miniclipGameLoader.dll PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\windows\system32\sp2ctr.exe C:\windows\system32\evthtm.exe C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe C:\Windows\Downloaded Program Files\miniclipGameLoader.dll neustarten C:\Programme\NavExcel Search Toolbar<---loeschen C:\Program Files\Video1\<---loeschen •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 12:26
Ehrenmitglied
Beiträge: 29434 |
#14
Zitat Sabina postete •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 13:14
Member
Themenstarter Beiträge: 16 |
#15
@Sabina,
die Registry-Einträge habe ich nicht gefunden. Sind nicht vorhanden. Habe vor einigen Tagen verdächtige Reg-Einträge gelöscht, vielleicht waren die dabei. Soll ich folgende Einstellung bei der Killbox vornehmen? "•Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes" " bevor ich die Dateien lösche oder soll ich "Standard File Kill" wählen? Folgende Dateien könnten verdächtig sein, da die das Erstellungsdatum haben, an dem ich verseucht wurde: In C:\WINNT saap_gdf.dat saap_kyf.dat saappau.dat WMSysPR9.prx test (keine Ahnung was für ein Dateiformat) win.ini wininit.ini ODBCINST.ini wmsetup.log saap.log In C:\WINNT\System32 FNTCACHE.dat perflibs_ ap2nqrd4.dat gah95on6.ini Kann ich welche davon löschen und wenn ja, im abgesicherten Modus oder "normal"? |
|
|
||
seit ein paar Tagen habe ich einen Hijacker auf meinem Rechner im Büro. Ich habe durch viele gute Tipps hier im Forum schon einiges beheben können. Leider kann ich aber immer noch nicht die rechte Maustaste betätigen, was ziemlich nervt. Außerdem erstellen sich immer zwei Icons, wenn ich eine Datei auf dem Desktop speichere. Kann mir vielleicht jemand einen Tipp geben, wie ich das wieder hin bekomme?
Ich möchte nur noch kurz dazu sagen, dass ich schon mit Hijackthis das System gecheckt und alle "bösartigen" Einträge gefixt habe. Außerdem habe ich so einiges an Viren-, Spy- und Hicjack-Progs drüber laufen gelassen, aber es wurde nichts mehr gefunden.
Ich weiß nicht, ob es wichtig ist, dass ich mich als Benutzer und Admin anmelden kann. Ich habe stets auf beiden Konten versucht den Hijacker zu entfernen.
Als Benutzer erhalte ich von Hijackthis folgende Meldungen, bevor das Logfile erstellt wird:
„For some reason your system denied write access to the host file. If any hijacked domains are in this file, Hijackthis mac NOT be able to fix this.
If that happens, you need to edit the file yourself. To do this, click Start, Run and type:
Notepad “C:\System32\drivers\etc\hosts”
And press enter. Find the line(s) HijackThis reports and delete them. Save the files as “hosts”. (with quotes), and reboot.”
Wenn ich dann “OK” drücke, kommt folgende Fehlermeldung:
„An unexpected error has occurred at procedure: modMain_CheckOther1Item() Error#75 – Path/File access error.
Please email me at merijin@spywareinfo.com, reporting the following:
*What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
*A complete HijackThis scan log, if possible
Windows Version … etc
This message …etc”
Kann die Meldung daran liegen, dass ich keine Zugriffsrechte als Benutzer habe? Denn die Datei ist im Ordner System32/Drivers/etc vorhanden.
Gehe ich über Start, Ausführen und gebe: C:\System32\drivers\etc\hosts ein, bekomme ich gesagt, dass die Datei entfernt oder verschoben wurde.
Hier das Logfile als Benutzer:
Logfile of HijackThis v1.99.1
Scan saved at 13:19:40, on 01.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Canon\ScanSoft\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
C:\Programme\D-info_2003\D-Info\dinfostarter.exe
C:\Programme\Adobe\Photoshop 7.0\Photoshop.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\WinRAR.exe
C:\DOKUME~1\Layout\LOKALE~1\Temp\Rar$EX00.515\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\Canon\ScanSoft\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: D-Info Starter.lnk = C:\Programme\D-info_2003\D-Info\dinfostarter.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: klickTel Januar 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .AIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .php: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1814171a99ecb3bb9006/netzip/RdxIE601_de.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
Hier das Logfile als Admin:
Logfile of HijackThis v1.99.1
Scan saved at 13:24:36, on 01.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Canon\ScanSoft\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.016\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\Canon\ScanSoft\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: klickTel Januar 2004 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .AIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .php: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1814171a99ecb3bb9006/netzip/RdxIE601_de.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
Puh, ich glaube, das war´s. Ich wäre über Ratschläge sehr dankbar, dass ich es vermeiden möchte den Rechner zu formatieren.
Da ich nur vom Büro aus ins Forum kann und gleich Feierabend habe, kann ich erst Montag wieder nachschauen, ob mir jemand weiterhelfen konnte. Aber ich möchte mich jetzt schon mal für die Hilfe bedanken. Alles andere am Montag.
Ich wünsche jedem, der meinen Eintrag liest ein schönes Wochenende!
Vielen Dank für Ihre Mühe!
Grüße
pepsen