F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe |
||
---|---|---|
#0
| ||
11.04.2005, 20:41
Member
Beiträge: 26 |
||
|
||
11.04.2005, 20:51
Member
Beiträge: 669 |
#2
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
Dieses Tool ist für O10 Winsock LSP Einträge. Englische Anleitung sollte soweit verständlich sein. Wichtig: nur die Datei aklsp.dll mit dem LSP Fix entfernen! Die dazu gehörige Datei kann nach der Prozedur manuell gelöscht werden (aber erst danach!) Hast du dein Logfile schon automatisch bei www.hijackthis.de auswerten lasswen? Wenn ja, sollten dir noch ein paar andere Einträge auffallen, die du unter die Lupe nehmen solltest. Des weiteren lies dir einmal diesen Thread hier durch (auch was die Absicherung deines Systems betrifft): http://board.protecus.de/t16317.htm __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
11.04.2005, 20:55
Member
Themenstarter Beiträge: 26 |
#3
danke erstmal.
ja außer den o10 Einträgen sind auch andere die ich fixen sollte dabei. hab ich auch schon. Aber sie tauchen immer wieder auf und die Systemwiederherstellung hab ich auch schon abgeschaltet. Edit: Also mein neuses Logfile sieht jetzt so aus: Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\WINDOWS\Explorer.exe D:\WINDOWS\System32\LXSUPMON.EXE D:\WINDOWS\System32\ctfmon.exe d:\windows\system32\xtftnr.exe D:\WINDOWS\System32\svchost.exe C:\hijack this\hijackthis_199\HijackThis.exe D:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [Security iGuard] D:\Programme\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [gxyjbsj] d:\windows\system32\xtftnr.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINDOWS\svcproc.exe Dieser Beitrag wurde am 11.04.2005 um 21:08 Uhr von EvaG editiert.
|
|
|
||
12.04.2005, 16:12
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@EvaG
einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html D:\WINDOWS\svcproc.exe D:\WINDOWS\Nail.exe • Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ D:\WINDOWS\svcproc.exe D:\WINDOWS\Nail.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten ------------------------------------------------------------------------------------------- Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon Shell = "explorer.exe loeschen--> D:\WINDOWS\Nail.exe schliesse die Registry •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SvcProc Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: 11Fßä#·ºÄÖ`I Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [Security iGuard] D:\Programme\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [gxyjbsj] d:\windows\system32\xtftnr.exe O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing) O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINDOWS\svcproc.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" D:\WINDOWS\Nail.exe d:\windows\system32\ifzsmeh.exe d:\windows\system32\xtftnr.exe D:\WINDOWS\svcproc.exe D:\WINDOWS\ieyb.exe D:\Programme\Security iGuard\Security iGuard.exe PC neustarten D:\Programme\Security iGuard\<--loeschen D:\WINDOWS\System32\P2P Networking\P2P Networking.exe<--deinstallieren •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml mache einen Komplettscann mit dem Antivirus gehe wieder in den Normalmodus + poste mir den Report vom Scann -------------------------- AdAware-VX2 Cleaner-->poste mir das Log vom Scann # Schließen Sie Ad-Aware (falls es gerade läuft) # Laden Sie den VX2 Cleaner hier runter http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml # Installieren Sie den VX2 Cleaner # Starten Sie Ad-Aware # Wechseln Sie zu Add-Ons # Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen # Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen # Ist Ihr Computer Infiziert, klicken Sie auf System reinigen # Neustart # Prüfen Sie Ihren Computer mit Ad-Aware # Entfernen Sie jegliche gefundenen VX2 Objekte # Neustart # Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden. L2mfix 1. Laden Sie L2mfix von hier : 2. http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe 3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. 4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. 5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix 6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. 7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren Wink WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter]. 9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. 10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. 11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. 13. Dies stellt die Winlogon Standardeinstellungen wieder her. 14. Posten Sie einen aktuellen HijackThis Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2005, 19:18
Member
Themenstarter Beiträge: 26 |
#5
Danke für die Hilfe.
Also ich fange dann mal an. Hier sind die ersten Ergebnisse. Wenn ich neue teile hab editier ichs hier rein. Datei: svcproc.exe Antivirus Version Update Result AntiVir 6.30.0.7 04.12.2005 no virus found AVG 718 04.12.2005 no virus found BitDefender 7.0 04.12.2005 no virus found ClamAV devel-20050307 04.12.2005 no virus found DrWeb 4.32b 04.12.2005 no virus found eTrust-Iris 7.1.194.0 04.12.2005 no virus found eTrust-Vet 11.7.0.0 04.12.2005 no virus found Fortinet 2.51 04.12.2005 no virus found F-Prot 3.16a 04.12.2005 no virus found Ikarus 2.32 04.12.2005 no virus found Kaspersky 4.0.2.24 04.12.2005 Trojan.Win32.Stervis.b McAfee 4467 04.12.2005 no virus found NOD32v2 1.1058 04.12.2005 no virus found Norman 5.70.10 04.12.2005 no virus found Panda 8.02.00 04.11.2005 no virus found Sybari 7.5.1314 04.12.2005 Trojan.Win32.Stervis.b Symantec 8.0 04.11.2005 no virus found Datei: Nail.exe Antivirus Version Update Result AntiVir 6.30.0.7 04.12.2005 no virus found AVG 718 04.12.2005 no virus found BitDefender 7.0 04.12.2005 no virus found ClamAV devel-20050307 04.12.2005 no virus found DrWeb 4.32b 04.12.2005 Trojan.Nail eTrust-Iris 7.1.194.0 04.12.2005 no virus found eTrust-Vet 11.7.0.0 04.12.2005 no virus found Fortinet 2.51 04.12.2005 no virus found F-Prot 3.16a 04.12.2005 no virus found Ikarus 2.32 04.12.2005 no virus found Kaspersky 4.0.2.24 04.12.2005 no virus found McAfee 4467 04.12.2005 no virus found NOD32v2 1.1058 04.12.2005 no virus found Norman 5.70.10 04.12.2005 no virus found Panda 8.02.00 04.11.2005 Bck/Nail.A Sybari 7.5.1314 04.12.2005 Troj/Dloader-LI Symantec 8.0 04.11.2005 no virus found Datei: svcproc.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPX AntiVir Keine Viren gefunden Avast Win32:Trojano-1211 gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan.Win32.Stervis.b gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Datei: Nail.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH, UPX AntiVir Keine Viren gefunden Avast Win32:Trojano-1212 gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Nail gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Win32.4 gefunden (mögliche Variante) NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "SvcProc" 12.04.2005 19:23:07 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000\Control] "ActiveService"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000\Control] "ActiveService"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "11Fßä#·ºÄÖ`I" 12.04.2005 19:29:01 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum] Dieser Beitrag wurde am 12.04.2005 um 19:32 Uhr von EvaG editiert.
|
|
|
||
12.04.2005, 19:35
Moderator
Beiträge: 7805 |
#6
Hilfe bringt dir teilweise das, tippe unter Start/Ausfuehren folgendes ein:
D:\WINDOWS\Nail.exe /FullRemove druecke dann enter. Spybot und Adaware sollten auh noch was entfernen koenen, wenn sie aktuell sind. Z.B. den Security iGuard __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.04.2005, 20:34
Member
Themenstarter Beiträge: 26 |
#7
danke. Wrd ich machen, wenn ich die Liste oben durch bin und das noch nicht komplett geholfen hat.
Im Moment bin ich gerade beiAntivirus. Hab es runtergeladen, alle einstellungen so gemacht wie sie oben stehen und das Programm im abgesicherten Modus geöffnet. Aber ich kann den Scan nicht starten. Wenn ich auch "Suche" klicke (So startet man doch den Scan?) funktioniert es nicht, besser gesagt es ist nicht anklickbar so wie die anderen buttons, weil scheinbar irgendeine Einstellung oderso noch nicht stimmt? Oder ist der Scan das was ganz kurz am Anfang läuft, wenn man das Programm öffnet? |
|
|
||
12.04.2005, 23:50
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@
Gehe in den abgesicherten Modus.--> Gehe in die Registry Start<Ausfuehren--> regedit Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I] dannC neustarten --> wieder in den abgesicherten modus Antivirus Klicke auf "diese "Lupe" wenn der scann fertig ist (poste mir den Scannreport )mache einen Onlinscann: •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm (poste dann das Ergebnis vom SCann) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2005, 14:55
Member
Themenstarter Beiträge: 26 |
#9
danke für die vielen tips usw, aber das Problem ist, dass ich nicht auf die Lupe klicken kann. Die Lupe ist bei mir nämlich grau, also nicht anklickbar. Die anderen Buttons sind alle anklickbar und bunt, nur eben die Lupe nicht. Woran kann das liegen?
|
|
|
||
15.04.2005, 01:25
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@EvaG
Deinstalliere den Antivirus wieder # avast! 4 Home Edition (free) Lade von der Originalseite: avast! 4 Home Edition http://www.avast.com/eng/avast_4_home.html nach der Installation wird ein Bootsscann angeboten-->klicke "yes" und poste das neue Log vom HijackTHis (und berichte, ob was geloescht wurde) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2005, 19:20
Member
Themenstarter Beiträge: 26 |
#11
Also bei dem Bootscann wurde was gelöscht. kann dir jetzt aber nicht genau schreiben was, weil ich nirgendwo einen bericht davon gefunden habe.
Jedenfalls hier mein Logfile Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\WINDOWS\Explorer.exe D:\WINDOWS\System32\LXSUPMON.EXE D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Alwil Software\Avast4\aswUpdSv.exe D:\Programme\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Alwil Software\Avast4\ashWebSv.exe D:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\hijack this\hijackthis_199\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [WeatherCast] "D:\Programme\WeatherCast\Weather.exe" /q O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE Scheint immer noch befallen zu sein. Aber wenn ich den PC starte, kommt am anfang immer eine Meldung mit irgendwas von "Nail.exe konnte nicht gefunden werden". Also, ich arbeite dann jetzt erstmal die Liste weiter ab. das mit dem adaware vx2 cleaner hab ich eben gemacht, aber da stand immer nur status system clean. Heißt das jetzt, dass ich keine vx2 objekte auf dem PC hab, oder hab ich nur zu schnell das Programm wieder geschlossen, bin mir nämlich nicht sicher ob das schon das endergebnis war? Hier ist das Ergebnis von L2mfix: L2MFIX find log 1.02b These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] "Asynchronous"=dword:00000000 "DllName"="" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{4C85FE78-BE68-E90D-6307-61AFA68B6D27}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras" "{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{E0D79304-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79305-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79306-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79307-84BE-11CE-9641-444553540000}"="WinZip" "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices" "{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu" "{B8323370-FF27-11D2-97B6-204C4F4F5020}"="SmartFTP Shell Extension DLL" "{FA6CE273-3338-4E56-976C-AB489038C876}"="" "{F57494C2-6807-404F-BCA7-A0AD040EE2E2}"="" "{8845A646-4CAC-4879-9278-647CA9BDCD5B}"="" "{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}"="" "{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}"="" "{00E0410B-6BC0-4654-8DED-20EF5CB9A558}"="" "{42800478-0B08-4938-B925-A063E58D4EC7}"="" "{48EFA595-DBEF-4FC6-85DA-A266A10874AB}"="" "{AAA1FF69-68C9-4719-A105-B278BF20A194}"="" "{B3E0A44F-A43E-41F0-A856-D923619D3B81}"="" "{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}"="" "{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}"="" "{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}"="" "{7ED821E7-841D-46BD-B938-4C439EC6D2B0}"="" "{472083B0-C522-11CF-8763-00608CC02F24}"="avast" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}] @="" "IDEx"="VT00" [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\InprocServer32] @="D:\\WINDOWS\\system32\\dkkquoui.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}] @="" [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\InprocServer32] @="D:\\WINDOWS\\system32\\dzkquoui.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}] @="" [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\InprocServer32] @="D:\\WINDOWS\\system32\\bptsprx2.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}] @="" [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\InprocServer32] @="D:\\WINDOWS\\system32\\sQfrcdlg.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}] @="" [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\InprocServer32] @="D:\\WINDOWS\\system32\\vefidl32.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}] @="" [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\InprocServer32] @="D:\\WINDOWS\\system32\\scvsvc.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}] @="" [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\InprocServer32] @="D:\\WINDOWS\\system32\\dwscript.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}] @="" [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\InprocServer32] @="D:\\WINDOWS\\system32\\dyuiext.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}] @="" [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\InprocServer32] @="D:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}] @="" [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\InprocServer32] @="D:\\WINDOWS\\system32\\wywfax.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}] @="" [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\InprocServer32] @="D:\\WINDOWS\\system32\\tyappcmp.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}] @="" [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\InprocServer32] @="D:\\WINDOWS\\system32\\kedtuf.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}] @="" [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\InprocServer32] @="D:\\WINDOWS\\system32\\dsiman32.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}] @="" [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\InprocServer32] @="D:\\WINDOWS\\system32\\Agdiodev.dll" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: D:\WINDOWS\SYSTEM32\ agdiodev.dll Sun 10 Apr 2005 9:38:10 ..S.R 233.739 228,26 K bptsprx2.dll Mon 4 Apr 2005 17:47:56 ..S.R 233.460 227,99 K dsiman32.dll Sun 10 Apr 2005 7:47:46 ..S.R 236.113 230,58 K dwewp.dll Wed 9 Mar 2005 12:03:00 A.... 66.560 65,00 K dwscript.dll Thu 7 Apr 2005 13:46:16 ..S.R 233.460 227,99 K dyuiext.dll Thu 7 Apr 2005 7:19:58 ..S.R 234.413 228,92 K dzkquoui.dll Mon 4 Apr 2005 17:03:14 ..... 233.248 227,78 K f40o0e~1.dll Sun 10 Apr 2005 7:48:10 ..S.R 232.881 227,42 K fdtrg.dll Fri 4 Mar 2005 13:41:22 A.... 66.560 65,00 K guqfq.dll Thu 3 Mar 2005 12:29:52 A.... 66.560 65,00 K iuohj.dll Mon 7 Mar 2005 21:13:36 A.... 66.560 65,00 K kedtuf.dll Fri 8 Apr 2005 23:40:42 ..S.R 234.413 228,92 K mvvaw.dll Fri 25 Feb 2005 11:14:56 A.... 66.560 65,00 K nruev.dll Mon 7 Mar 2005 13:25:34 A.... 66.560 65,00 K scvsvc.dll Wed 6 Apr 2005 15:58:28 ..S.R 234.235 228,74 K sqfrcdlg.dll Tue 5 Apr 2005 11:33:08 ..S.R 234.235 228,74 K tyappcmp.dll Fri 8 Apr 2005 12:34:46 ..S.R 233.460 227,99 K vefidl32.dll Wed 6 Apr 2005 12:13:14 ..S.R 233.460 227,99 K wywfax.dll Fri 8 Apr 2005 7:01:02 ..S.R 234.413 228,92 K yhyhd.dll Fri 18 Mar 2005 8:04:10 A.... 66.560 65,00 K 20 items found: 20 files (12 H/S), 0 directories. Total of file sizes: 3.507.450 bytes 3,34 M Locate .tmp files: D:\WINDOWS\SYSTEM32\ guard.tmp Sun 10 Apr 2005 11:51:12 ..S.R 233.739 228,26 K 1 item found: 1 file (1 H/S), 0 directories. Total of file sizes: 233.739 bytes 228,26 K ********************************************************************************** Directory Listing of system files: Volume in Laufwerk D: hat keine Bezeichnung. Volumeseriennummer: EC98-D2F6 Verzeichnis von D:\WINDOWS\System32 10.04.2005 11:51 233.739 guard.tmp 10.04.2005 09:38 233.739 Agdiodev.dll 10.04.2005 07:48 232.881 f40o0ed3eh0.dll 10.04.2005 07:47 236.113 dsiman32.dll 08.04.2005 23:40 234.413 kedtuf.dll 08.04.2005 12:34 233.460 tyappcmp.dll 08.04.2005 07:01 234.413 wywfax.dll 07.04.2005 13:46 233.460 dwscript.dll 07.04.2005 07:19 234.413 dyuiext.dll 06.04.2005 15:58 234.235 scvsvc.dll 06.04.2005 12:13 233.460 vefidl32.dll 05.04.2005 11:33 234.235 sQfrcdlg.dll 04.04.2005 17:47 233.460 bptsprx2.dll 04.04.2005 15:19 81.920 sdtn.exe 28.03.2005 15:59 417.792 n?tepad.exe 07.02.2005 11:51 <DIR> dllcache 15 Datei(en) 3.541.733 Bytes 1 Verzeichnis(se), 850.378.752 Bytes frei Edit: Darf ich jetzt den Schritt mit der 2 Eintippen machen oder nicht? weil da in der beschreibung ja steht man dürfe es nur machen, wenn man aufgefordert wird. Oder hab ich das jetzt falsch verstanden? Dieser Beitrag wurde am 16.04.2005 um 19:23 Uhr von EvaG editiert.
|
|
|
||
16.04.2005, 20:09
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@EvaG
Start-->Ausfuehren-->regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe-> loeschen:--> D:\WINDOWS\Nail.exe #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing) neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" D:\WINDOWS\VT00.exe D:\WINDOWS\Nail.exe D:\WINDOWS\ieyb.exe D:\WINDOWS\System32\guard.tmp D:\WINDOWS\System32\Agdiodev.dll D:\WINDOWS\System32\f40o0ed3eh0.dll D:\WINDOWS\System32\dsiman32.dll D:\WINDOWS\System32\kedtuf.dll D:\WINDOWS\System32\tyappcmp.dll D:\WINDOWS\System32\wywfax.dll D:\WINDOWS\system32\dzkquoui.dll D:\WINDOWS\System32\dwscript.dll D:\WINDOWS\System32\dyuiext.dll D:\WINDOWS\\system32\dsiman32.dll D:\WINDOWS\System32\scvsvc.dll D:\WINDOWS\System32\vefidl32.dll D:\WINDOWS\System32\sQfrcdlg.dll D:\WINDOWS\System32\bptsprx2.dll D:\WINDOWS\System32\sdtn.exe D:\WINDOWS\system32\tyappcmp.dll D:\WINDOWS\System32\n?tepad.exe neustarten •AdAware-VX2 #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 AdAware-VX2 Cleaner # Schließen Sie Ad-Aware (falls es gerade läuft) # Laden Sie den VX2 Cleaner hier runter http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml # Installieren Sie den VX2 Cleaner # Starten Sie Ad-Aware # Wechseln Sie zu Add-Ons # Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen # Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen # Ist Ihr Computer Infiziert, klicken Sie auf System reinigen # Neustart # Prüfen Sie Ihren Computer mit Ad-Aware # Entfernen Sie jegliche gefundenen VX2 Objekte # Neustart # Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden. scanne noch mal mit L2MFIX (die zwei Runden komplett)-->bitte alles posten+ das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2005, 22:43
Member
Themenstarter Beiträge: 26 |
#13
Ich hab jetzt das mit dem Adavare VX2 nochmal gemacht. Aber wenn ich den VX2 Cleaner laufen lasse, seteht da immer Status system clean. Wenn ich dann aber das normale Adaware drüber laufen lasse, findet er auch VX2 Teile. Die hab ich jetzt gelöscht (und was sonst noch so gefunden wurde) und hab neu gestartet und dann nochmal das mit l2mfix gemacht. Hier das logfile:
L2MFIX find log 1.02b These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] "Asynchronous"=dword:00000000 "DllName"="" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{4C85FE78-BE68-E90D-6307-61AFA68B6D27}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras" "{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{E0D79304-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79305-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79306-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79307-84BE-11CE-9641-444553540000}"="WinZip" "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices" "{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu" "{B8323370-FF27-11D2-97B6-204C4F4F5020}"="SmartFTP Shell Extension DLL" "{FA6CE273-3338-4E56-976C-AB489038C876}"="" "{F57494C2-6807-404F-BCA7-A0AD040EE2E2}"="" "{8845A646-4CAC-4879-9278-647CA9BDCD5B}"="" "{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}"="" "{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}"="" "{00E0410B-6BC0-4654-8DED-20EF5CB9A558}"="" "{42800478-0B08-4938-B925-A063E58D4EC7}"="" "{48EFA595-DBEF-4FC6-85DA-A266A10874AB}"="" "{AAA1FF69-68C9-4719-A105-B278BF20A194}"="" "{B3E0A44F-A43E-41F0-A856-D923619D3B81}"="" "{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}"="" "{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}"="" "{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}"="" "{7ED821E7-841D-46BD-B938-4C439EC6D2B0}"="" "{472083B0-C522-11CF-8763-00608CC02F24}"="avast" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}] @="" "IDEx"="VT00" [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}\InprocServer32] @="D:\\WINDOWS\\system32\\dkkquoui.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}] @="" [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}\InprocServer32] @="D:\\WINDOWS\\system32\\dzkquoui.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}] @="" [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}\InprocServer32] @="D:\\WINDOWS\\system32\\bptsprx2.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}] @="" [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}\InprocServer32] @="D:\\WINDOWS\\system32\\sQfrcdlg.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}] @="" [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}\InprocServer32] @="D:\\WINDOWS\\system32\\vefidl32.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}] @="" [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}\InprocServer32] @="D:\\WINDOWS\\system32\\scvsvc.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}] @="" [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}\InprocServer32] @="D:\\WINDOWS\\system32\\dwscript.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}] @="" [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}\InprocServer32] @="D:\\WINDOWS\\system32\\dyuiext.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}] @="" [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}\InprocServer32] @="D:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}] @="" [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}\InprocServer32] @="D:\\WINDOWS\\system32\\wywfax.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}] @="" [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}\InprocServer32] @="D:\\WINDOWS\\system32\\tyappcmp.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}] @="" [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}\InprocServer32] @="D:\\WINDOWS\\system32\\kedtuf.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}] @="" [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}\InprocServer32] @="D:\\WINDOWS\\system32\\dsiman32.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}] @="" [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}\InprocServer32] @="D:\\WINDOWS\\system32\\Agdiodev.dll" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: D:\WINDOWS\SYSTEM32\ dwewp.dll Wed 9 Mar 2005 12:03:00 A.... 66.560 65,00 K fdtrg.dll Fri 4 Mar 2005 13:41:22 A.... 66.560 65,00 K guqfq.dll Thu 3 Mar 2005 12:29:52 A.... 66.560 65,00 K iuohj.dll Mon 7 Mar 2005 21:13:36 A.... 66.560 65,00 K mvvaw.dll Fri 25 Feb 2005 11:14:56 A.... 66.560 65,00 K nruev.dll Mon 7 Mar 2005 13:25:34 A.... 66.560 65,00 K yhyhd.dll Fri 18 Mar 2005 8:04:10 A.... 66.560 65,00 K 7 items found: 7 files, 0 directories. Total of file sizes: 465.920 bytes 455,00 K Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Volume in Laufwerk D: hat keine Bezeichnung. Volumeseriennummer: EC98-D2F6 Verzeichnis von D:\WINDOWS\System32 28.03.2005 15:59 417.792 n?tepad.exe 07.02.2005 11:51 <DIR> dllcache 1 Datei(en) 417.792 Bytes 1 Verzeichnis(se), 990.961.664 Bytes frei ------------------------- L2Mfix 1.02b Running From: D:\DOKUME~1\alle\Desktop\l2mfix RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Setting registry permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Denying C access for really "Everyone" - adding new ACCESS DENY entry Registry Permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (CI) DENY --C------- Jeder (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Setting up for Reboot Starting Reboot! D:\Dokumente und Einstellungen\alle\Desktop\l2mfix System Rebooted! Running From: D:\Dokumente und Einstellungen\alle\Desktop\l2mfix killing explorer and rundll32.exe Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1104 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Zipping up files for submission: adding: clear.reg (164 bytes security) (deflated 67%) adding: echo.reg (164 bytes security) (deflated 10%) adding: direct.txt (164 bytes security) (stored 0%) adding: lo2.txt (164 bytes security) (deflated 70%) adding: readme.txt (164 bytes security) (deflated 49%) adding: report.txt (164 bytes security) (deflated 69%) adding: test.txt (164 bytes security) (deflated 42%) adding: test2.txt (164 bytes security) (deflated 47%) adding: test3.txt (164 bytes security) (deflated 47%) adding: test5.txt (164 bytes security) (deflated 47%) adding: backregs/00E0410B-6BC0-4654-8DED-20EF5CB9A558.reg (164 bytes security) (deflated 70%) adding: backregs/3C8F444C-5101-4306-BF6C-BE1BD4ED32C0.reg (164 bytes security) (deflated 70%) adding: backregs/42800478-0B08-4938-B925-A063E58D4EC7.reg (164 bytes security) (deflated 70%) adding: backregs/48EFA595-DBEF-4FC6-85DA-A266A10874AB.reg (164 bytes security) (deflated 70%) adding: backregs/4D23E0FB-B853-4BDA-8A86-B2D87DE652D9.reg (164 bytes security) (deflated 70%) adding: backregs/7ED821E7-841D-46BD-B938-4C439EC6D2B0.reg (164 bytes security) (deflated 70%) adding: backregs/8845A646-4CAC-4879-9278-647CA9BDCD5B.reg (164 bytes security) (deflated 70%) adding: backregs/AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489.reg (164 bytes security) (deflated 70%) adding: backregs/AAA1FF69-68C9-4719-A105-B278BF20A194.reg (164 bytes security) (deflated 70%) adding: backregs/B3E0A44F-A43E-41F0-A856-D923619D3B81.reg (164 bytes security) (deflated 70%) adding: backregs/B830E6B2-3BD7-4FE2-9D60-C4C00D581865.reg (164 bytes security) (deflated 70%) adding: backregs/C1C7BF9C-97CB-482F-AAFD-F716C65A905B.reg (164 bytes security) (deflated 70%) adding: backregs/F57494C2-6807-404F-BCA7-A0AD040EE2E2.reg (164 bytes security) (deflated 70%) adding: backregs/FA6CE273-3338-4E56-976C-AB489038C876.reg (164 bytes security) (deflated 69%) adding: backregs/shell.reg (164 bytes security) (deflated 73%) Restoring Registry Permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Revoking access for really "Everyone" Registry permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332 The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] "Asynchronous"=dword:00000000 "DllName"="" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{FA6CE273-3338-4E56-976C-AB489038C876}"=- "{F57494C2-6807-404F-BCA7-A0AD040EE2E2}"=- "{8845A646-4CAC-4879-9278-647CA9BDCD5B}"=- "{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}"=- "{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}"=- "{00E0410B-6BC0-4654-8DED-20EF5CB9A558}"=- "{42800478-0B08-4938-B925-A063E58D4EC7}"=- "{48EFA595-DBEF-4FC6-85DA-A266A10874AB}"=- "{AAA1FF69-68C9-4719-A105-B278BF20A194}"=- "{B3E0A44F-A43E-41F0-A856-D923619D3B81}"=- "{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}"=- "{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}"=- "{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}"=- "{7ED821E7-841D-46BD-B938-4C439EC6D2B0}"=- [-HKEY_CLASSES_ROOT\CLSID\{FA6CE273-3338-4E56-976C-AB489038C876}] [-HKEY_CLASSES_ROOT\CLSID\{F57494C2-6807-404F-BCA7-A0AD040EE2E2}] [-HKEY_CLASSES_ROOT\CLSID\{8845A646-4CAC-4879-9278-647CA9BDCD5B}] [-HKEY_CLASSES_ROOT\CLSID\{C1C7BF9C-97CB-482F-AAFD-F716C65A905B}] [-HKEY_CLASSES_ROOT\CLSID\{B830E6B2-3BD7-4FE2-9D60-C4C00D581865}] [-HKEY_CLASSES_ROOT\CLSID\{00E0410B-6BC0-4654-8DED-20EF5CB9A558}] [-HKEY_CLASSES_ROOT\CLSID\{42800478-0B08-4938-B925-A063E58D4EC7}] [-HKEY_CLASSES_ROOT\CLSID\{48EFA595-DBEF-4FC6-85DA-A266A10874AB}] [-HKEY_CLASSES_ROOT\CLSID\{AAA1FF69-68C9-4719-A105-B278BF20A194}] [-HKEY_CLASSES_ROOT\CLSID\{B3E0A44F-A43E-41F0-A856-D923619D3B81}] [-HKEY_CLASSES_ROOT\CLSID\{3C8F444C-5101-4306-BF6C-BE1BD4ED32C0}] [-HKEY_CLASSES_ROOT\CLSID\{4D23E0FB-B853-4BDA-8A86-B2D87DE652D9}] [-HKEY_CLASSES_ROOT\CLSID\{AA98E9C2-BB60-4D54-BCAF-A6DBF6C70489}] [-HKEY_CLASSES_ROOT\CLSID\{7ED821E7-841D-46BD-B938-4C439EC6D2B0}] **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** ---------------------- HijackThis-Log: Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\WINDOWS\System32\LXSUPMON.EXE D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Alwil Software\Avast4\aswUpdSv.exe D:\Programme\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\wuauclt.exe D:\Programme\Alwil Software\Avast4\ashWebSv.exe D:\Programme\Alwil Software\Avast4\ashMaiSv.exe D:\WINDOWS\explorer.exe D:\WINDOWS\system32\NOTEPAD.EXE C:\hijack this\hijackthis_199\HijackThis.exe O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE Dieser Beitrag wurde am 16.04.2005 um 22:57 Uhr von EvaG editiert.
|
|
|
||
17.04.2005, 16:35
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@EvaG
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Remote Procedure Call (RPC) Helper " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Remote Procedure Call (RPC) Helper " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. Start-->ausfuehren-->regedit Bearbeiten-->suchen--> 11Fßä#·ºÄÖ`I (reinkopieren) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum] Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing) neustarten deinstalliere den avast und lade: •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-Heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Loeschen: D:\WINDOWS\ieyb.exe D:\WINDOWS\VT00.exe D:\WINDOWS\System32\guard.tmp D:\WINDOWS\SYSTEM32\ dwewp.dll fdtrg.dll guqfq.dll iuohj.dll mvvaw.dll nruev.dll yhyhd.dll Agdiodev.dll dwscript.dll dyuiext.dll dsiman32.dll scvsvc.dll tyappcmp.dll kedtuf.dll n?tepad.exe Loeschen temporaere Dateien[/color] --> loesche die Dateien in den Ordnern, nicht die ordner selbst D:\WINDOWS\Temp\ D:\Temp\ D:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ mache dort einen Komplettscann und dann poste mir (wieder im Normalmodus) den Scannreport )+ das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.04.2005, 18:39
Member
Themenstarter Beiträge: 26 |
#15
Den Antivirus hab ich runtergeladen und installiert. Nach der installation hat sich automatisch ein Scan geöffnet und ich hab in (im Normalmodus) weiterlaufen lassen. Dann wollte ich in den abgesicherten Modus um den scann da nochmal laufen zu lassen, aber die lupe ist wieder grau und lässt sich nicht anklicken, sowohl im normal und im abgesicherten modus.
Die oben angegebenen Dateien wollte ich auch löschen, aber es war keine davon mehr da. Nur bei den Temporären Dateien bin ich mir nicht sicher, ob du da D:\ gemeint hast? weil unter C:\ gibts bei mir nur Temp und nicht WINDOWS\Temp. Wenn D gemeint ist: Den ganzen Inhalt löschen, oder die Unterordner da lassen und auch deren Inhalt löschen? Hier mein aktuelles Logfile: Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\LXSUPMON.EXE D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\Messenger\msmsgs.exe C:\hijack this\hijackthis_199\HijackThis.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\svchost.exe O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE |
|
|
||
habe mal wieder ein Problem mit diesem Computer durch meinen netten bruder der es immer schafft neue Spyware auf den PC zu machen *nerv*
ich hab schon versucht das ganze mit adaware und der Hijack this seite zu beheben. aber wenn ich die O10 einträge löschen will, kommt eine meldung ich solle lspfix installieren. Hätte ich es damit getan, wenn ich dieses Programm über den PC laufen lasse? Ich habs schon runtergeladen, aber ich bin nicht sicher ob es für meine Zwecke das richtige ist?
Wäre lieb wenn mir mal jemand über mein Logfile schaut und sagt was ich zu machen habe:
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\System32\P2P Networking\P2P Networking.exe
D:\WINDOWS\System32\LXSUPMON.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\explorer.exe
d:\windows\system32\ifzsmeh.exe
D:\WINDOWS\explorer.exe
C:\hijack this\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [Security iGuard] D:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [kcdntmq] d:\windows\system32\ifzsmeh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\irfanview\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\ieyb.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - D:\WINDOWS\svcproc.exe