Dumaru-aq windldra.exe mal wieder (heul) |
||
|---|---|---|
| #0
| ||
|
23.06.2005, 09:48
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
23.06.2005, 09:57
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
23.06.2005, 10:01
...neu hier
Themenstarter Beiträge: 6 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 10:00:36, on 23.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\spoolsv.exe C:\WINDOWS.0\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS.0\system32\ctfmon.exe C:\Programme\AlfaClock\AlfaClock.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS.0\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner (2)\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQfgtpZ1QQfrppZ25QQsassZcherokeefreaks O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [load32] C:\WINDOWS.0\system32\winldra.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [pamela.exe] "C:\Programme\Pamela\pamela.exe" O4 - HKCU\..\Run: [AlfaClock Classic] "C:\Programme\AlfaClock\AlfaClock.exe" /startup O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13ed82bb591e9f7d5520/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112953589333 O17 - HKLM\System\CCS\Services\Tcpip\..\{D1AEAE98-7BF1-4C36-B86E-79CD45DBDE07}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe Entschuldigung bitte...... ich hoffe so ist es richtig....... Ich wollte noch eines anfügen nach meinen ganzen löschversuchen ..kommt nun bei jedem systemneustart die meldung das windlra.exe ein problem festgestellt hat und beendet werden muss....gleichzeitig meldet sich aber auch antivir mit immer der gleichen meldung das er den trojaner irgendwo gefunden hat.....ich lösche immer aber das bringt ja erfahrungsgemäß nach den thread`s in eurem forum eher nichts... ich hoffe mal das ist keine ganz so schlechte systemmeldung ..... Dieser Beitrag wurde am 23.06.2005 um 10:12 Uhr von Oldiesurfer editiert.
|
|
|
|
|
|
|
23.06.2005, 20:10
Member
Beiträge: 1132 |
#4
Hallo Oldiesurfer,
Erst mal mein Kompliment, dass Du in Deinem Alter Dich noch an moderne Technologie wie PC und Inet heranwagst. Du hast schon richtig erkannt, dass die Mail mit dem bösen Link nicht von Deinem Bekannten kam, sondern von irgendwelcher Malware (wahrscheinlich einem Wurm) verschickt wurde. Bei winldra.exe handelt es sich um einen sog. Backdoor-Trojaner (winldra.exe = Troj/Dumaru-BB; http://www.sophos.de/virusinfo/analyses/trojdumarubb.html). Was er kann ersiehst Du aus folgendem Zitat: Zitat # Stiehlt DatenIch bin normalerweise nicht dafür, ein System zu reinigen, das mit einem (oder sogar mehreren) Backdoor(s) infiziert ist. Da Du aber unter allen Umständen ein Neuaufsetzen Deines Systems vermeiden willst und sich Troj/Dumaru-BB relativ leicht entfernen lässt, wollen wir einfach einmal versuchen, ob wir Deinen Rechner mit einfachen, Dir verständlichen Mitteln wieder hinbekommen. Du musst Dir allerdings im Klaren darüber sein, dass der Trojaner bereits wichtige Daten gestohlen (insbesondere Passwörter) und unbekannte Dateien auf Deinem System installiert haben könnte, welche die Systemstabilität beeinflussen. Deaktiviere die XP-Systemwiederherstellung Arbeitsplatz => Rechtsklick => Eigenschaften => Häkchen setzen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren => OK Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) O4 - HKLM\..\Run: [load32] C:\WINDOWS.0\system32\winldra.exe O4 - HKCU\..\Run: [pamela.exe] "C:\Programme\Pamela\pamela.exe" Rechner in den abgesicherten Modus starten (beim Hochfahren des Rechners F8 solange drücken, bis das Auswahlmenü erscheint). Lösche mit dem Win Explorer folgende Dateien C:\WINDOWS.0\system32\winldra.exe C:\Programme\Pamela\pamela.exe und falls vorhanden C:\WINDOWS.0\dvpd.dll C:\WINDOWS.0\netdx.dat C:\WINDOWS.0\prntsvra.dll C:\WINDOWS.0\TEMP\fa4537ef.tmp C:\WINDOWS.0\winsms.dll Rechner neu starten und überprüfen, ob die angegebenen Dateien auch wirklich gelöscht wurden. Lade Dir herunter (zum Löschen der Temp-Dateien) ClearProg 1.4.1 http://www.clearprog.de/downloads.php Programm öffnen => Alle Kästchen unter Internetexplorer und Windows im rechten Fenster ankreuzen und dann "Löschen" drücken. Öffne HijackThis => Drücke Config... => Misc Tools => Open hosts file manager => Open in Notepad. Den gesamten Inhalt dieses Textfensters abkopieren und hierher posten. Mache einen vollständigen Systemscan (Alle Dateien prüfen) mit Deinem (aktualiserten) Antivir und lösche alle gefundenen infizierten Dateien. XP-Systemwiederherstellung wieder aktivieren (Häkchen entfernen => OK) Alle Passwörter ändern! Poste ein aktuelles HijackThis Log. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
23.06.2005, 21:16
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo nochmal....
ich habe nun selbsttätig den ganzen tag rumgedoktort an meinem system.. Habe alles gemacht was ich so hier gefunden habe. Es ging mir darum.der Antivir AVG hatte sich ja sofort gemeldet als ich die mail geöffnet hatte und mich sofort gefragt ob ich sie ins Quarantäneverzeichnis verschieben möchte oder löschen.. Das hat ja wie beschrieben nichts gebracht.Nur hatte ich ja bei jedem Start dann die fehlermeldung von der windldra oder wie das ding heißt....:-) Kann es nicht sein das diesem trojaner irgendwie was gefehlt hat dadurch das ich wohl gleich gelöscht hatte ?und er sich evtl nicht ausbreiten konnte ? Schön wärs ja !!! das mit dem highjackkram und fix this datei usw habe ich heute mittag alles schon gemacht.auch das clearprog hab ich x mal laufen lassen.. das Pamela.exe.....soll ich löschen ???? das ist mein Anrufbeantworter vom Skype den hab ich schon ewig drauf und der ist 100 % clean......... ich mache nun das mal mit dem abgesicherten modus und den ganzen rest aber nochmal..... ich habe halt irgendwie die hoffnung oder sogar vermutung da die windlraexe dingsbums sich nicht richtig installieren konnte da ich ja sofort reagiert hatte als der liveguard vom antivir sich gemeldet hatte.. Ich habe also nicht länger wie 2 sekunden gewartet vorm löschen evtl wichtiger dateien die der trojaner evtl gebraucht hat und dann nicht mehr bekommen hat...(wunschtraum von mir ) ich mach nun alles nochmal und poste dann wieder... Danke für die Hilfestellung |
|
|
|
|
|
|
23.06.2005, 21:21
Member
Beiträge: 1132 |
#6
OK, dann lasse das mit Pamela. Hatte beim Googlen zu pamela.exe nur Infos gefunden, die auf einen Wurm hinwiesen. Arbeite aber den Rest ab in der Reihenfolge wie ich geschrieben habe.
Der Trojaner hat sich installiert: O4 - HKLM\..\Run: [load32] C:\WINDOWS.0\system32\winldra.exe Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 23.06.2005 um 21:32 Uhr von Heron editiert.
|
|
|
|
|
|
|
23.06.2005, 21:35
...neu hier
Themenstarter Beiträge: 6 |
#7
den hier O4 - HKLM\..\Run: [load32] C:\WINDOWS.0\system32\winldra.exe
hatte ich heute mittag nach dem durchforsten schon mit dem highjack den garaus gemacht mit dem fixen usw usw..hatte alles geklappt.. cleardingsbums auch laufen lassen danach.... dann gleich nochmal onlinecheck mit f-secure dann wieder antivir und was ich noch so habe :-) ich habe nur ein problem.... ich weiß leider nicht wie ich diese dinger hier finden kann ????? C:\WINDOWS.0\dvpd.dll C:\WINDOWS.0\netdx.dat C:\WINDOWS.0\prntsvra.dll C:\WINDOWS.0\TEMP\fa4537ef.tmp C:\WINDOWS.0\winsms.dll wirklich keine ahnung wie ich mit dem explorer umgehen muss.... ansonsten habe ich alles heute schritt für schritt so gemacht wie es hier in den threads beschrieben ist..... hier noch ein aktueller screen von dem highjack Logfile of HijackThis v1.99.1 Scan saved at 21:33:38, on 23.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\spoolsv.exe C:\WINDOWS.0\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS.0\system32\ctfmon.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS.0\System32\svchost.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner (2)\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQfgtpZ1QQfrppZ25QQsassZcherokeefreaks O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [pamela.exe] "C:\Programme\Pamela\pamela.exe" O4 - HKCU\..\Run: [AlfaClock Classic] "C:\Programme\AlfaClock\AlfaClock.exe" /startup O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll wenn ich nun noch wüsste wie ich die dll dinger finde..... weil wenn sie garnicht vorhanden wären fände ich es ja als gutes zeichen ..... bin dankbar für eine nochmalige antwort |
|
|
|
|
|
|
23.06.2005, 21:46
Member
Beiträge: 1132 |
#8
Um den Win Explorer zu öffnen, machst Du folgendes:
Start-Knopf in der Taskleiste mit der rechten Maustaste anklicken => Kontext-Menü offnet sich => Explorer Danach siehst Du im Explorer links die Verzeichnisstruktur Deines Rechners. Navigiere zu C:\windows.0 und auf der rechten Seite werden alle Dateien, die im Ordner vorhanden sind alphabetisch geordnet angezeigt. Da kannst Du nach den angegebenen Dateien suchen. Wenn Du sie gefunden hast, entspr. Datei markieren und den "Entf"-Knopf drücken. Damit löscht Du die Datei aus dem Ordner. Schau auch nach C:\WINDOWS.0\system32\winldra.exe (navigieren im linken Bereich zu C:\windows.0 => system32) und lösche diese auch. Bitte auch die Hosts-Datei posten. Das Log sieht soweit sauber aus bis auf R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQfgtpZ1QQfrppZ25QQsassZcherokeefreaks Kennst Du den Eintrag? Wenn nicht => fixen Was macht Antivir? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 23.06.2005 um 21:52 Uhr von Heron editiert.
|
|
|
|
|
|
|
23.06.2005, 21:47
...neu hier
Themenstarter Beiträge: 6 |
#9
Diese dll habe ich mit suche nach dateien und ordnern gefunden
C:\WINDOWS.0\dvpd.dll allerdings im Antivir infected ordner...die wurden dorthin verschoben ca 3 sekunden nach der meldung das ich was auf meinem system habe..ich hatte mir das alles notiert wann die meldung kam.....sofort beim öffnen der kagge.... die ntdx war die einzige die drinn war ...die habe ich nun auch gelöscht :-) das mit dem cherokee ........ist meine startseite bei kotzbay.... Dieser Beitrag wurde am 23.06.2005 um 21:57 Uhr von Oldiesurfer editiert.
|
|
|
|
|
|
|
23.06.2005, 22:00
Member
Beiträge: 1132 |
#10
OK, dann belassen wir das erst mal dabei.
Schaue Dir bitte noch den Eintrag R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQfgtpZ1QQfrppZ25QQsassZcherokeefreaks im HJT Log an. Sollte er Dir nicht bekannt sein => fixen und neue Startseite im IE einstellen. Solltest Du noch Probleme haben, dann melde Dich wieder. Gruß Heron edit: Solltest Du die Systemwiederherstellung abgestellt haben, dann nicht vergessen, diese wieder zu aktivieren. __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 23.06.2005 um 22:04 Uhr von Heron editiert.
|
|
|
|
|
|
|
23.06.2005, 22:28
...neu hier
Themenstarter Beiträge: 6 |
#11
hier noch das hostfile.....was ich aber erst erstellen musste da keins da war....
# Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost |
|
|
|
|
|
|
24.06.2005, 10:11
Member
Beiträge: 1132 |
#12
Die Hosts-Datei ist in Ordnung. Wenn Antivir nichts mehr meldet, dann hast Du es ja vielleicht überstanden.
Du kannst aber noch ein Weiteres tun und Dein System mit eScan überprüfen. Anleitung und Download hier: http://virus-protect.org/escan.html Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
lange hab ich überlegt ob ich hier schreibe.
habe euer forum von oben nach unten durchforstet und habe einige tips auch ausgeführt die hier beschrieben werden...aber mit 76 ist das alles nicht mehr so einfach zu verstehen....
Es geht um den oben genannten trojaner...
Ein bekannter hatte mir einen link geschickt per e-mail....als ich den angeklickt hatte kam sofort eine meldung vom antivir,mit dem hinweis auf den Trojaner....ich hatte ihn dann sofort gelöscht.aber wie immer hilft das ja alles nichts.und die beschreibungen zum löschen sind für mich sehr schwer zu verstehen.
Ich habe wirklich alles probiert und fast alle programme benutzt die ihr beschrieben habt,um den Kerl loszuwerden...
Ich bin ja schon ziemlich weit mit meinem löschen aber irgendwie ist er halt immer noch nicht wech.........
hier nun auch bevor ihr es anfordert meine logdatei von dem Highjack 1.99
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [load32] C:\WINDOWS.0\system32\winldra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [pamela.exe] "C:\Programme\Pamela\pamela.exe"
O4 - HKCU\..\Run: [AlfaClock Classic] "C:\Programme\AlfaClock\AlfaClock.exe" /startup
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13ed82bb591e9f7d5520/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112953589333
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1AEAE98-7BF1-4C36-B86E-79CD45DBDE07}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
ich komme irgendwie nicht mehr weiter....habe auch diese eine datei noch auf dem rechner windlr...oder so ähnlich wie die heisst in der registry system 32.....
kann ich die einfach noch löschen ??
ein system neu aufsetzen wäre wohl das schlimmste für mich was es gibt....
kann miur jemand noch einen tip geben wie ich noch weiter komme ???
Es sind auch bisher keine mails versendet worden da die datei nicht vorhanden ist wie von euch beschrieben...ist da noch hoffnung für mich meinen rechner wieder saueber zu kriegen und das nächste mal besser aufzupassen........
aber wenn schon links von bekannten nicht mehr zu öffenen sind frage ich mich wem ich noch trauen kann.wobei ich denke das der rechner von meinem bekannten wohl total versaut ist und er es wohl nicht mal weiß...
bitte um hilfestellung wenn möglich....ich gebe mir dann wirklich mühe das zu verstehn....
Gruss vom Max.....