psguard, bekomm ihn nicht komplett weg |
||
---|---|---|
#0
| ||
17.08.2005, 10:17
...neu hier
Beiträge: 9 |
||
|
||
17.08.2005, 10:40
Ehrenmitglied
Beiträge: 6028 |
||
|
||
17.08.2005, 11:30
...neu hier
Themenstarter Beiträge: 9 |
#3
Also ich habe jetzt mal selber die Einträge mit "www.bestwebslinks.com" und die mit "GameDesire" mit hijackthis gefixt, da die mir komisch vorkommen und habe nun das problem, dass viele Programme nicht mehr laufen, weil die wininet.dll nicht vorhanden ist. Beim Neustart komm gleich am anfang "jusched.exe konnte nicht gestartet werden, weil wininet.dll nicht vorhanden blabla". Habe im Forum was über die wininet gefunden und smitRem drüber laufen lassen.
Die Wininet.dll ist aber immer noch net vorhanden. Mein aktueller hijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 11:29:32, on 17.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Lol\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124182333995 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe und mein smitRem Log: smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll ole32vbs.exe msole32.exe hp***.tmp shnlog.exe intmon.exe hhk.dll logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ sites.ini ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ msole32.exe ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! ---------------------------------------------------------------------- ---------------------------------------------------------------------- Update: Glaube ich habe es geschafft. Habe die wininet.dll aus C:\WINDOWS\SYSTEM32\DLLCACHE nach SYSTEM32 kopiert (vorher gescannt) und nun läuft alles wieder. Meine aktuellen Logs: ------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 12:02:19, on 17.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Lol\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124182333995 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe --------------------------------------------------- smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! ------------------------------------------------------------- Sieht denke ich sehr gut aus. Da ich mich damit aber garnicht auskenne würde ich sehr gerne jemanden darum bitten nochmal drüber zu schauen. Vielleicht auch zu sagen ob meine komplette Vorgehensweise so in Ordnung war, damit ich vielleicht auch jemanden mal helfen kann, ohne seinen Rechner abzuschießen. Vielen Dank schonmal Dieser Beitrag wurde am 17.08.2005 um 12:09 Uhr von Secu45 editiert.
|
|
|
||
17.08.2005, 12:31
Member
Beiträge: 1132 |
#4
Hi Secu45,
erst mal Kompliment! Solch aktive User wünschte man sich öfters! Dennoch hast Du Glück, dass Du "nur" diesen Hijacker eingefangen hast. Dein System ist nämlich völlig ungepatcht!! Das Log sieht sauber aus. Du könntest zusätzlich noch eScan drüberlaufen lassen http://virus-protect.org/escan.html Außerdem, dringend Windowsupdates machen, SP2 aufspielen und den IE aktualisieren. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.08.2005, 12:41
...neu hier
Themenstarter Beiträge: 9 |
#5
Vielen Dank!
Alles klar, mache gerade den escan. Damit das nicht mehr passiert hab ich schonmal den firefox draufgemacht und hätte noch eine kleine Frage. Kann mir jemand eine gute Freeware Firewall empfehlen? Bin zwar hinterm Router, aber würd gern noch eine Sofware Firewall (ausser der von SP2) hier drauf machen. Und zum Thema völlig ungepacht: Habe zwar kein SP2 drauf, aber ansonsten gerade gestern erst Windows Update gemacht. Nach dem escan poste ich nochmal den Log. Dieser Beitrag wurde am 17.08.2005 um 12:52 Uhr von Secu45 editiert.
|
|
|
||
17.08.2005, 12:52
Member
Beiträge: 32 |
#6
Moinsen,
mich plagt das selbe Problem, habe mir ebenfalls den PSGuard eingefangen. Nach 2 stündiger Arbeit und mit Hilfe dieses sehr nützlichen Forum hier konnte ich ihn aber zumindestens schonmal soweit entfernen, dass er sich nicht immer wieder in die Registry einträgt. Spybot findet keine PSGuard einträge mehr. Auch andere Trojaner oder Malware wird nicht angezeigt. Ebenso Ewido. Dort wird auch nichts angezeigt. Ein online-scan mit Panda lässt auch darauf schliessen, dass der Pc sauber sein sollte. Jedoch blinkt in der Taskleiste ab und wann ein gelbes Dreieck mit einem schwarzen Ausrufezeichen auf. Ein doppelklick bringt einen auf verschiedene Webseiten mit angeblicher Anti-Spyware die man sich herunterladen soll um den PC von angeblichen Trojanern zu befreien. Desöfteren erscheint auch eine Warnmeldung, die behauptet der PC sei mit Trojanern oder Spyware befallen, jedoch stammt diese Meldung weder von Spybot, noch von Ewido. Ich würde mich doch sehr freuen wenn ihr mir irgendwie helfen könntet! |
|
|
||
17.08.2005, 12:55
...neu hier
Themenstarter Beiträge: 9 |
#7
Das gleiche war bei mir auch. Hatte auch das Dreieck. Adaware hat bei mir auch immer wieder (alle anderen Tools nicht) Psguard in der registry angezeigt.
Poste echt am besten dein hijackThis Log hier rein, da kann dir am besten geholfen werden. PS: Mein escan läuft noch aber er hat schon bissle was gefunden. z.B.: "Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken." Ich poste am ende nochmal den kompletten Log |
|
|
||
17.08.2005, 13:04
...neu hier
Beiträge: 1 |
#8
Hallo @Secu45
ich kann dir ZoneAlarm empfehlen. Auf dieser Seite gibts den Download und Anleitung. http://virus-protect.org/firewalls.html Mfg Swiss |
|
|
||
17.08.2005, 13:17
...neu hier
Themenstarter Beiträge: 9 |
#9
Hier ist mein escan Log:
-------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: Wed Aug 17 12:53:51 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* 2: Wed Aug 17 12:59:08 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024847.exe infected by "Trojan-Downloader.Win32.Zlob.ah" Virus! Action Taken: No Action Taken. 3: Wed Aug 17 12:59:09 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024853.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 4: Wed Aug 17 12:59:09 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024854.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 5: Wed Aug 17 12:59:12 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024903.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 6: Wed Aug 17 12:59:12 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024904.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 7: Wed Aug 17 12:59:13 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024922.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 8: Wed Aug 17 12:59:13 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024923.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 9: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024965.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. 10: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024971.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. 11: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024972.exe infected by "Trojan.Win32.Favadd.aj" Virus! Action Taken: No Action Taken. 12: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024973.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 13: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024974.exe infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. 14: Wed Aug 17 12:59:14 2005 => File C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024975.dll infected by "Trojan.Win32.Puper.ap" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- TAGGED --------------------- -------------------------------------------------- 1: Wed Aug 17 12:51:01 2005 => File C:\Downloads\Backup\Games\Counter-Strike_old\hltv.exe tagged as not-a-virus:Server-Proxy.Win32.Hltv. No Action Taken. 2: Wed Aug 17 12:57:42 2005 => File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken. -------------------------------------------------- --------------------- ERRORS --------------------- -------------------------------------------------- 1: Wed Aug 17 12:39:05 2005 => ERROR!!! Invalid Entry ashMaiSv = C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. 2: Wed Aug 17 12:40:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\Navy.dll". Action Taken: No Action Taken. 3: Wed Aug 17 12:40:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\words.dll". Action Taken: No Action Taken. 4: Wed Aug 17 12:40:02 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\wordssingle.dll". Action Taken: No Action Taken. 5: Wed Aug 17 12:40:03 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\Navy.dll". Action Taken: No Action Taken. 6: Wed Aug 17 12:40:03 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\words.dll". Action Taken: No Action Taken. 7: Wed Aug 17 12:40:03 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\wordssingle.dll". Action Taken: No Action Taken. 8: Wed Aug 17 12:40:04 2005 => Entry "HKCR\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}" refers to invalid object "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll". Action Taken: No Action Taken. 9: Wed Aug 17 12:40:07 2005 => Entry "HKCR\CLSID\{53707962-6F74-2D53-2644-206D7942484F}" refers to invalid object "C:\Programme\Spybot - Search & Destroy\SDHelper.dll". Action Taken: No Action Taken. 10: Wed Aug 17 12:40:20 2005 => Entry "HKCR\HP" refers to invalid object "{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}". Action Taken: No Action Taken. 11: Wed Aug 17 12:40:20 2005 => Entry "HKCR\HP.1" refers to invalid object "{74dca5e1-2573-4ef4-8483-ad35a8046c7e}". Action Taken: No Action Taken. 12: Wed Aug 17 12:42:53 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned 13: Wed Aug 17 12:42:53 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchToonComics.zip is Not Scanned 14: Wed Aug 17 12:42:53 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchToonComics1.zip is Not Scanned 15: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA.zip is Not Scanned 16: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PSGuard.zip is Not Scanned 17: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC.zip is Not Scanned 18: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC1.zip is Not Scanned 19: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC2.zip is Not Scanned 20: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC3.zip is Not Scanned 21: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC4.zip is Not Scanned 22: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC5.zip is Not Scanned 23: Wed Aug 17 12:42:54 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC6.zip is Not Scanned -------------------------------------------------- -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT --------- -------------------------------------------------- 1: C:\Downloads\Backup\Games\Counter-Strike_old\hltv.exe => tagged:Server-Proxy.Win32.Hltv. 2: C:\Programme\mIRC\mirc.exe => tagged:Client-IRC.Win32.mIRC.616. 3: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024847.exe => Trojan-Downloader.Win32.Zlob.ah 4: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024853.exe => Trojan.Win32.Puper.ap 5: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024854.dll => Trojan.Win32.Puper.ap 6: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024903.exe => Trojan.Win32.Puper.ap 7: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024904.dll => Trojan.Win32.Puper.ap 8: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024922.exe => Trojan.Win32.Puper.ap 9: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024923.dll => Trojan.Win32.Puper.ap 10: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024965.dll => Virus.Win32.Nsag.b 11: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024971.dll => Trojan.Win32.Small.ev 12: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024972.exe => Trojan.Win32.Favadd.aj 13: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024973.exe => Trojan.Win32.Puper.ap 14: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024974.exe => Trojan.Win32.Puper.ap 15: C:\System Volume Information\_restore{1C98A060-E7B9-45A5-BF4A-5437EDD13A8E}\RP103\A0024975.dll => Trojan.Win32.Puper.ap -------------------------------------------------- -------------------- Statistik ------------------- -------------------------------------------------- Wed Aug 17 13:13:35 2005 => Total Objects Scanned: 46436 Wed Aug 17 13:13:35 2005 => Total Virus(es) Found: 16 Wed Aug 17 13:13:35 2005 => Total Errors: 23 Wed Aug 17 13:13:35 2005 => Virus Database Date: 2005/08/17 Wed Aug 17 13:13:35 2005 => Virus Database Count: 144030 Wed Aug 17 13:15:21 2005 => Total Objects Scanned: 46436 Wed Aug 17 13:15:21 2005 => Total Virus(es) Found: 16 Wed Aug 17 13:15:21 2005 => Total Errors: 23 Werde jetzt erstmal die Systemwiederherstellung deaktivieren um die Dateien zu löschen und dann wieder aktivieren. Soll ich noch was tun? |
|
|
||
17.08.2005, 13:47
Member
Beiträge: 32 |
#10
Also mein HIjackThis-log:
Logfile of HijackThis v1.99.1 Scan saved at 13:45:46, on 17.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\msole32.exe C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Sony\Jog Dial Utility\JogServ2.exe C:\Programme\Sony\10Key Utility\va10key.exe C:\Programme\PowerPanel\Program\PcfMgr.exe C:\Programme\Apoint\Apntex.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp7397.tmp (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Utility\JogServ2.exe O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O20 - Winlogon Notify: style2 - C:\WINDOWS\q208680_disk.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe |
|
|
||
17.08.2005, 13:56
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@SteffenK
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp7397.tmp (file missing) O20 - Winlogon Notify: style2 - C:\WINDOWS\q208680_disk.dll (file missing) Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken..dann wieder in den normalmodus booten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\hp7397.tmp C:\WINDOWS\System32\msole32.exe C:\WINDOWS\q208680_disk.dll PC neustarten smitRem TOOL (Entfernungstool) Download: http://noahdfear.geekstogo.com/ öffne smitRem folder, Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread ClaerProg..lade die neuste Version http://virus-protect.org/temp.html Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - index.dat Lade Ewido von dieser Seite -- im abgesicherten Modus scannen+ poste mir den Scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.08.2005, 13:58
Member
Beiträge: 1132 |
#12
@Secu45
(und bitte die WindowsUpdates machen->lade SP2) Wenn Du die beiden 1: C:\Downloads\Backup\Games\Counter-Strike_old\hltv.exe => tagged:Server-Proxy.Win32.Hltv. 2: C:\Programme\mIRC\mirc.exe => tagged:Client-IRC.Win32.mIRC.616. kennst, dann kannst Du sie belassen werden als "Riskware" eingestuft) Scanne Dein System noch mit Ewido http://virus-protect.org/ewido.html Suche und lösche in der Registry alle Schlüssel mit {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} Leere die Quarantäne von Spybot S&D Bereinige die Registry und Surfspuren mit CCleaner http://www.ccleaner.com/ccdownload.asp Was die Firewall anbelangt, so schau Dich mal im Firewall-Forum um. Da findest jede Menge Empfehlungen. Gruß Heron edit: Hi Sabina, Du bist mir zuvor gekommen __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.08.2005, 14:06
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@Heron
ich bin eben eine schnelle Biene Ich hab meinen Beitrag geloescht und in deinen das WinUpdate reinkopiert. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.08.2005, 14:29
Member
Beiträge: 1132 |
#14
Das stimmt! Man könnte Dich schon mit Fug und Recht als "Turbo-Biene" bezeichnen. Einfach unglaublich Dein Pensum!
Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.08.2005, 14:55
...neu hier
Themenstarter Beiträge: 9 |
#15
Also habe jetzt alles gemacht.
Der Ewido hat nur cookies gefunden. Hier der Report: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 14:47:02, 17.08.2005 + Report-Checksumme: 194238C3 + Scanergebnis: :mozilla.9:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.10:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.11:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.12:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.13:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.14:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.25:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.26:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.27:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert ohne Backup :mozilla.28:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert ohne Backup :mozilla.29:C:\Dokumente und Einstellungen\Lol\Anwendungsdaten\Mozilla\Firefox\Profiles\ctac075n.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert ohne Backup C:\Dokumente und Einstellungen\Lol\Cookies\Lol@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert ohne Backup ::Report Ende -------------------------------------------------------------- Sobald ich den escan laufen lasse findet er immer wieder den da: "Object "AltNet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen." Was könnte das sein? Und wie leere ich die Quarantäne von SpyBot? |
|
|
||
Bin auch von diesem tollen virus befallen. Habe Adaware, Spybot, Antivir mehrmals drüber gebügelt. Desktop Einstellungen mit allem drum und drann funktioniert auch wieder. Aber komplett weg ist er noch nicht. Ich bekomme immer noch ein gelbes Dreieck in der Systray und Adaware findet jedes mal wieder den psguard.
Bitte um Hilfe.
Hier mein HijackThis Log:
Logfile of HijackThis v1.99.1
Scan saved at 10:04:46, on 17.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msole32.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lol\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_16.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124182333995
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_26.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/pl/wordssingle_2_0_0_30.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe