Home » Viren, Trojaner & Malware Forum » Virus.Win32.Hidrag.a / O23 - Service: Power Manager » Themenansicht
Virus.Win32.Hidrag.a / O23 - Service: Power Manager |
||
|---|---|---|
| #0
| ||
|
30.05.2005, 17:18
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
30.05.2005, 23:52
Member
Beiträge: 1132 |
#2
Hi Leonie,
Win32.Hidrag.a ist ein relativ "harmloser" Virus und wäre leicht zu entfernen! Aber, Du hast noch viel mehr "Rest"-Probleme! Ganz abgesehen davon, würde ich, wenn ich "1000 Würmerchen" (Du bist Dir sicher, dass die Zahl stimmt?) auf meinem PC hatte, von denen aller Wahrscheinlichkeit nach 995 Backdoors waren, die Windows-CD zur Hand nehmen und das System neu auflegen. Aber das ist nur meine ganz persönliche Meinung. Manch andere Boardies finden es nicht gut , wenn man so etwas gleich empfiehlt. Es gibt bestimmt jemanden hier im Board, der Dir hilft, Dein System zu "reinigen", also nicht verzagen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 31.05.2005 um 00:47 Uhr von Heron editiert.
|
|
|
|
|
|
|
31.05.2005, 16:02
...neu hier
Themenstarter Beiträge: 9 |
#3
Es waren keine Backdoors. Ok, vielleicht ein paar, aber nichtmal 10
 Meistens war es ein und der selbe Virus in verscheidenen Dateien. Bei 3 Festplatten kann das schon vorkommen =J Gibt's denn irgend eine Möglichkeit, den Virus endlich komplett wegzubekommen? |
|
|
|
|
|
|
31.05.2005, 16:23
Ehrenmitglied
 Beiträge: 29434 |
#4
Hallo@Leonie
•LSPfix.exe http://www.spychecker.com/program/lspfix.html hake an: "I know what Im doing"-->Remove und loesche die winsflt.dll (eventuell musst du die dll von links nach rechts bringen) Start<Ausfuehren < schreib rein: cmd kopiere rein: sc stop PowerManager klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete PowerManager klicke "enter" kopiere rein: del C:\WINDOWS\svchost.exe Klicke "enter" kopiere rein: del C:\WINDOWS\IsUn0407.exe Klicke "enter" Hijacker about:blank - se.dll\sp.html--> scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Admin\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = e:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm O2 - BHO: (no name) - {DDF6BB03-BB25-4614-B1CE-001B207CA88D} - C:\WINDOWS\system32\eoba.dll (file missing) O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {4B280838-680A-486E-A99F-F97D73F82D42} (egames.AxRTPC) - http://dreamville.e-games.com.my/AxClient/AxRTPC.CAB O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe PC neustarten •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: PowerManager Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
31.05.2005, 17:13
...neu hier
Themenstarter Beiträge: 9 |
#5
Moin
 Ok, hier kümmt der Bericht vom regsrch.vbs: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "PowerManager" 31.05.2005 17:16:06 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000] "Service"="PowerManager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager\Enum] "0"="Root\\LEGACY_POWERMANAGER\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000] "Service"="PowerManager" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000] "Service"="PowerManager" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager\Enum] "0"="Root\\LEGACY_POWERMANAGER\\0000" Brauchst du sonst noch etwas? |
|
|
|
|
|
|
01.06.2005, 12:33
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Leonie
Start-->Ausfuehren--> regedit Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager PC neustarten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.06.2005, 20:12
...neu hier
Themenstarter Beiträge: 9 |
#7
Hi nochmal
Ich hab das Problem, dass ich nicht in den abgesicherten Modus komme ='( Es gibt zwar (denk ich mal) den Text "Windoof wird gestartet", aber das in der Geschwindigkeit "da-weg" und ich bin mir nichtmal sicher, dass das da wirklich steht, so schnell geht das ='( Auch, wenn ich lustiges Dauerfeuer auf F8 mache, öffnet sich nichts und Windoof startet normal... Ich habe XP. Gibt's da noch 'ne andere Möglichkeit, da reinzukommen ='(? |
|
|
|
|
|
|
01.06.2005, 23:12
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
02.06.2005, 15:45
...neu hier
Themenstarter Beiträge: 9 |
#9
C:\Dokumente und Einstellungen\Admin\Desktop\rkfiles
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished bye Das ist der Log Kleine Frage nocht: Was ist der WoerManager eigentlich...? |
|
|
|
|
|
|
02.06.2005, 17:22
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Leonie
Obwohl wahrscheinlich alles o.k. ist: Mache bitte onlinescans+ berichte Online-Scan (Panda)+Bitdefender/Online und andere http://virus-protect.org/onlinescan.html (P.S: der Dienst POWERMANAGER wurde vom Virus erstellt, so als waere es ein Dienst von Windows und wurde somit immer mitgestartet) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.06.2005, 17:52
...neu hier
Themenstarter Beiträge: 9 |
#11
Ok, danke, ich lass gerade den von Trend Micro durchlaufen =J
Kann ich eigentlich noch irgendwie meine Daten retten, oder sind die nun alle auf ewig kaputt? (Also die, die mir sagten "falscher Parameter", etc.) Sö, der ist durch. Gefunden hat er: JAVA_BYTEVER.C und das gleiche mit .A F-Secure hat zeitgleich auch noch Trojan.Java.ClassLoader.h gefunden -.-° gelöscht können beide merkwürdiger Weise nicht werden. ehm... was nu? Edit: Irgendwie scheinen die nun doch weg zu sein... hmm... Noja, eine Frage steht ja noch weiter oben Edit2: Ok, zu früh gefreut: Trojan-Downloader.Win32.Dyfuca.ds <-- der wurde gefunden -.-° (gerade auch schon, aber den hatte ich vergessen, mitanzuführen...) Der lässt sich übrigens nicht löschen. Edit3: Ok, die Java-Viren sind auch wieder da... Edit4: (langsam sammel ich die...) Habe gerade F-Secure komplett durchlaufen lassen. Ergebnis: 16 Viren, aber alle liegen im Papierkorb auf D:/ Ich habe auch in das Verzeichnis gewechselt (klappte ja schonmal, dass ich die "einfach" gelöscht habe und die kamen nicht wieder), aber obwohl ich angeklickt habe, dass alle unsichtbaren Dateien zu sehen sein sollen, zeigt er mir die nicht an *grummel* Edit5: mit Glück wird morgen mein Compi nochmal umgekremeplt. Allerdings nur die Festplatte C:/ Jetzt mach ich mir aber Sorgen wegen der Viren im D:/Recycle - so sehr, wie Murphy mich hasst, springen die hundert Pro auch wieder auf C:/ zurück -.-° Kann ich die irgendwie löschen =/? Dieser Beitrag wurde am 02.06.2005 um 22:19 Uhr von Leonie editiert.
|
|
|
|
|
|
|
02.06.2005, 23:38
Ehrenmitglied
Beiträge: 29434 |
#12
du haettest mir alles posten sollen, was angezeigt wird, dann haette ich einen Weg gefunden das alles zu loeschen...
CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html  also noch mal scannen und ALLES posten, die kompletten Pfade . __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.06.2005, 14:59
...neu hier
Themenstarter Beiträge: 9 |
#13
Ich HAB ja alles gepostet
Am Anfang war es nunmal nur der Hidrag. Die anderen hat gerade erst der andere gefunde... *seufz* Ich lass das mal durch laufen Ich glaub, ich hab grad was falsch gemacht... ANALYSE komplett - (0,812 Sek) ------------------------------------------------------------------------------------------ 2.048,0MB zu entfernen. (Ungefähre Größe) Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht) ------------------------------------------------------------------------------------------ C:\DOKUME~1\Admin\LOKALE~1\Temp\WCESCOMM.LOG 0 bytes C:\DOKUME~1\Admin\LOKALE~1\Temp\IadHide5.dll 24,04KB Geleerter Papierkorb (45 Dateien) 2.048,0MB (noch ist mein Compi übrugens komplett, Montag kommt der Techniker) Ich glaub, ich hab's doch nicht ganz so falsch gemacht ^.^ (Dachte erst, ich hätte den Log vergessen und nun wär's weg oder so...) ANALYSE komplett - (7,734 Sek) ------------------------------------------------------------------------------------------ 2.066,2MB zu entfernen. (Ungefähre Größe) Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht) ------------------------------------------------------------------------------------------ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 300 bytes Entfernte Cookies: bravenet.com Entfernte Cookies: bravenet.com Entfernte Cookies: posterxxl.com Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\profiles\ik2r86di.default\cache\01F4335Ed01 0,16MB Geleerter Papierkorb (45 Dateien) 2.048,0MB C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\desktop.ini 67 bytes C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\desktop.ini 67 bytes Dieser Beitrag wurde am 03.06.2005 um 19:16 Uhr von Leonie editiert.
|
|
|
|
|
|
|
04.06.2005, 16:14
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@Leonie
CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html ClaerProg..lade die neuste Version <1.5.1 http://virus-protect.org/temp.html <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - index.dat Tipps zur Anwendung: http://www.sophos.com/support/disinfection/jeefoa.html 1.) PC im abgesicherten Modus starten. 2.) Entfernungstool ausführen. 3.) Systemwiederherstellung deaktivieren (wichtig!) 4.) System neu starten. 5.) Entfernungstool nochmals ausführen (zur Kontrolle). 6.) Systemwiederherstellung reaktivieren. 7.) System neu starten. dann duerfte alles ok. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.06.2005, 16:40
...neu hier
Themenstarter Beiträge: 9 |
#15
Danke
Anscheinend ist BIS JETZT alles gelöscht, was gelöscht gehört... Aber ich lass gerade nochmal den Virenscanner durchrennen Mein D:/REcycle ist hoffentlich nun auch leer, ich werd's ja gleich sehen. Wenn ich noch etwas finde, poste ich's hier weiter Jetz nochmal kurze Frage: Sind meine ganzen Daten jetz wirklich immer kaputt und zeigen mir an vonwegen "Parameter falsch" und "Nur ein Teil der ReadProcessMemory- oder WriteProcessMemory-Anforderung wurde geschlossen."? Oder lässt sich das noch reparieren? (hab grad mal nachgeschaut, dann sind nämlich nu knappe 10GB für'n A**** ='( ) Viele Programme /z.B. PhotoImpact 10 und Poser 5) starten zwar schon wieder, aber brechen kurz darauf in sich zusammen -.-° Auch Neuinstall klappt da nicht =/ Sö, der Scan ist nun durch. Habe nur noch den Trojan-Spy.Win32.Briss.g 2x auf der Platte. Ich hab gelöscht und lass nochmal durchlaufen. Mal sehen, ob der gelöscht bleibt... Dieser Beitrag wurde am 04.06.2005 um 18:26 Uhr von Leonie editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Habe gesucht, aber nicht gefunden. Entschuldigung, wenn es doch einen Topic gibt ...
Mein Problem ist folgendes:
Seit vorgestern habe ich einen Virenscanner auf meinem System. Es ist der "F-Secure Internet Security 2005" mit dem neusten Update.
Bis vorgestern lief mein Computer noch einwandfrei, jedoch seitdem ich den Virenscanner drauf habe, öffnen sich keine Programme mehr. So z.B. kommt diese Fehlermeldung, wenn ich auf MS Outlook klicke:
"C:/Programme/Microsoft Office/OFFICE11/OUTLOOK.EXE
Nur ein Teil der ReadProcessMemory- oder WriteProcessMemory-Anforderung wurde geschlossen.
OK"
Klicke ich auf OK, schließt sich das Fenster einfach und nichts passiert. Eine andere Fehlermeldung ist:
"C:/Dokumente und Einstllungen/Admin/Desktop/Silberweide.zip
Falscher Parameter
OK"
Auch hier passiert nachdem ich auf OK klicke, nichts.
Als ich gestern den Virenscan durchlaufen ließ, hat er knappe 1000 Würmerchen gefunden, was ja kein Wunder ist, wenn man so lange ohne Virenscan im Netz ist, aber es konnten auch alle bis auf einen gelöscht werden. Und dieser eine ist "Virus.Win32.Hidrag.a" Kaum öffne ich ein Programm, sagt mir mein Internetsecurity, dass ein Virus gefunden und desinfiziert wurde. Das passiert ein Mal pro Programm, danach ist auch gut. Nur leider lassen sich viele der Programm, wo desinfiziert wurde, nun nicht mehr öffnen. Die Fehlermeldungen stehen oben.
Nun lasse ich gerade zum 3. Mal den Virenscan durchrennen. Wieder hat er "Virus.Win32.Hidrag.a" gefunden.
Gibt es eine Möglichkeit, den komplett loszuwerden?
Würde mich sehr über eine Antwort freuen.
Liebe Grüße,
Christina
P.S.: Falls das hier helfen sollte, ich hab einen Log mit Hijakthis gemacht (sieht vermutlich sehr, sehr dunkel und böse aus...) :
Logfile of HijackThis v1.99.1
Scan saved at 17:37:48, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Admin\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = e:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {DDF6BB03-BB25-4614-B1CE-001B207CA88D} - C:\WINDOWS\system32\eoba.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4B280838-680A-486E-A99F-F97D73F82D42} (egames.AxRTPC) - http://dreamville.e-games.com.my/AxClient/AxRTPC.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/216b77833a735f030c05/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07A6911A-5C3F-4DC0-9A34-4AB664EADF4F}: NameServer = 200.200.200.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAB05749-CFC2-4962-9198-88795005BB80}: NameServer = 200.200.200.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{07A6911A-5C3F-4DC0-9A34-4AB664EADF4F}: NameServer = 200.200.200.77
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
(Noch eine kurze Bemerkung: Mein Virenscanner läuft grad)
Habe nach dem Scann noch etwas gemeldet bekommen:
Objekt: "C:/Windows/svchost.exe"
Virusname: "Virus.Win32.Hidrag.a"
Ergebnis: "Das Objekt konnte nicht desinfiziert werden"
Hm... =/