PS Guard unter Windows XP :\ |
||
---|---|---|
#0
| ||
19.08.2005, 22:22
...neu hier
Beiträge: 10 |
||
|
||
19.08.2005, 23:37
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@N4aN
Start -- Ausfuehren -- schreib rein: cmd kopiere rein: sc stop moto klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete moto klicke "enter" kopiere rein: del C:\WINDOWS\stchost.exe Klicke "enter" -------------------------------------------------------------------------------------------- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocvn.dll/errorAPI.htm#ID=PX8594; R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: BHO - {00000015-A527-34E7-25C2-03A4E313B2E9} - c:\WINDOWS\system32\winsrvs_1.dll O2 - BHO: (no name) - {B20D470B-63CE-4B94-A46B-A5D904B1D3DD} - C:\WINDOWS\System32\blbd.dll (file missing) O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe home O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O21 - SSODL: System - {A5729A67-2EBF-4EF0-A770-23FB84107947} - vr_sys.dll (file missing) O23 - Service: stchost.exe (moto) - Unknown owner - C:\WINDOWS\stchost.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\shdocvn.dll C:\WINDOWS\System32\intell32.exe C:\WINDOWS\System32\blbd.dll C:\WINDOWS\system32\svcnt32.exe C:\Programme\PSGuard\PSGuard.exe C:\Programme\PSGuard C:\WINDOWS\stchost.exe C:\WINDOWS\vr_sys.dll C:\WINDOWS\system\stchost.dll C:\WINDOWS\system\__delete_on_reboot__stchosthook.dll C:\WINDOWS\System32\msmsgs.exe c:\WINDOWS\system32\winsrvs_1.dll C:\WINDOWS\System32\intell32.exe PC neustarten smitRem TOOL (Entfernungstool) Download: http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Lade Ewido -->poste bitte das Log vom SCan http://virus-protect.org/ewido.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein ----------------------------- •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: moto Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: stchost.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2005, 04:58
...neu hier
Themenstarter Beiträge: 10 |
#3
Gut, gerade nach Hause gekommen - schreib ich dir mal die Ergebnisse für die Scans rein.
Im übrigen danke für die schnelle und gute Hilfe, hätt ich nicht mit gerechnet. smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ShudderLTD key present! Running LTDFix! ShudderLTD key was successfully removed! Pre-run Files Present ~~~ Program Files ~~~ PSGuard ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ thn.dll oleext.dll ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ wininet.dll INFECTED!! Starting replacement procedure. ~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~ ~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~ ~~~~ Checking dllcache\wininet.dll for infection ~~~~ ~~~~ dllcache\wininet.dll Clean! ~~~~ ~~~ Replaced wininet.dll from dllcache ~~~ --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 04:53:59, 20.08.2005 + Report-Checksumme: 8D13969B + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup [804] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [1116] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [1580] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [1636] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [1672] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [1712] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [1732] C:\WINDOWS\System32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [2268] C:\WINDOWS\system32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern [2784] C:\WINDOWS\system32\OLEEXT.dll -> TrojanDownloader.Agent.ns : Fehler beim Säubern C:\WINDOWS\system32\maxd1.exe -> Dialer.Generic : Gesäubert mit Backup C:\WINDOWS\system32\ztoolb005.dll -> Spyware.Zbar : Gesäubert mit Backup C:\WINDOWS\system32\ztoolb009.dll -> Spyware.Zbar : Gesäubert mit Backup C:\WINDOWS\system32\__delete_on_reboot__OLEEXT.dll -> TrojanDownloader.Agent.ns : Gesäubert mit Backup C:\WINDOWS\system32\AdCache -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_514100.gif -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_517000.gif -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_539400.swf -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_1_501900.jpg -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_585500.swf -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_608400.swf -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_601400.gif -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_3_530600.gif -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_3_730000.swf -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_539400.htm -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_555100.htm -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_585500.htm -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_608400.htm -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_3_730000.htm -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_2_1_549800.htm -> Adware.Cydoor C:\WINDOWS\system32\AdCache\B_434_0_1_590700.gif -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_1_592400.gif -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\system32\AdCache\B_434_0_2_513300.gif -> Adware.Cydoor : Gesäubert mit Backup C:\WINDOWS\sec.exe -> TrojanDropper.Small.acg : Gesäubert mit Backup C:\WINDOWS\Downloaded Program Files\access_special.ocx -> Dialer.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\Steffen Triebel\Desktop\backups\backup-20050820-004751-567.dll -> Spyware.Ramdud : Gesäubert mit Backup :mozilla.7:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup :mozilla.10:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup :mozilla.11:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup :mozilla.15:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.16:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.18:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.300:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Targetnet : Gesäubert mit Backup :mozilla.301:C:\Dokumente und Einstellungen\Steffen :mozilla.571:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Hitslink : Gesäubert mit Backup :mozilla.588:C:\Dokumente und Einstellungen\Steffen Triebel\Anwendungsdaten\Mozilla\Firefox\Profiles\fa5cqytt.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup Passt nicht ganz rein, ein paar Zeilen fehlen leider :\ Dieser Beitrag wurde am 20.08.2005 um 05:02 Uhr von N4aN editiert.
|
|
|
||
20.08.2005, 10:25
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@N4aN
Suchen/loeschen: programme\PSGuard •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: moto Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: stchost.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2005, 15:53
...neu hier
Themenstarter Beiträge: 10 |
#5
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "moto" 20.08.2005 15:52:02 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-220523388-1292428093-839522115-1003\Software\epsxe\config] "GamepadMotorType"="0,0,0,0" [HKEY_USERS\S-1-5-21-220523388-1292428093-839522115-1003\Software\epsxe\config] "GamepadSMotorType"="0,0,0,0" [HKEY_USERS\S-1-5-21-220523388-1292428093-839522115-1003\Software\epsxe\config] "GamepadBMotorType"="0,0,0,0" Für letzteres : No results. |
|
|
||
20.08.2005, 16:19
Ehrenmitglied
Beiträge: 29434 |
#6
kopiere nur rein:
stchost erscheint dann was im Texteditor? Gehe auch in die Registry Start-->Ausfuehren-->regedit Bearbeiten-->suchen--> stchost berichte, ob du was findest ------------ dann arbeite das hier bitte alles ab http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2005, 17:47
...neu hier
Themenstarter Beiträge: 10 |
#7
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0C3-A84D Verzeichnis von C:\WINDOWS\system32 20.08.2005 10:02 1.080 settingsbkup.sfm 20.08.2005 10:02 24 DVCState-{00000000-00000000-0000000A-00001102-00000002-80641102}.dat 20.08.2005 10:02 24 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000002-80641102}.dat 20.08.2005 10:02 17.500 BMXState-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx 20.08.2005 10:02 17.500 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx 20.08.2005 10:02 29.808 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx 20.08.2005 10:02 29.808 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000002-80641102}.rfx 20.08.2005 10:02 1.080 settings.sfm 19.08.2005 21:01 45 initdebug.nfo 19.08.2005 17:56 248 system.htm 19.08.2005 16:57 28.672 birdihuy32.dll 19.08.2005 16:57 63 birdihuy.dll 14.08.2005 16:10 2.184 wpa.dbl 25.07.2005 15:54 3.388 ztoolbar.bmp 25.07.2005 04:58 46.592 zlbw.dll 25.07.2005 04:58 22 $$$_.log 25.07.2005 04:57 8 zksdfnsuidfsdiu.jhk 15.06.2005 16:55 4.096 speedfan.sys 02.06.2005 22:13 1.991.936 kernel1.exe 02.06.2005 22:12 1.985.152 KERNEL.TMP 04.05.2005 07:04 299.008 atiiiexx.dll 04.05.2005 06:31 221.184 ATIDEMGR.dll 04.05.2005 05:52 6.680.576 atioglx1.dll 04.05.2005 04:44 4.820.992 atioglxx.dll 04.05.2005 04:28 226.816 ati2dvag.dll 04.05.2005 04:24 94.208 atipdlxx.dll 04.05.2005 04:24 73.728 Oemdspif.dll 04.05.2005 04:24 25.088 Ati2mdxx.exe 04.05.2005 04:24 39.936 ati2edxx.dll 04.05.2005 04:23 46.080 ati2evxx.dll 04.05.2005 04:22 364.544 ati2evxx.exe 04.05.2005 04:22 53.248 ATIDDC.DLL 04.05.2005 04:14 2.307.424 ati3duag.dll 04.05.2005 04:08 604.864 ativvaxx.dll 04.05.2005 03:57 135.168 atikvmag.dll 04.05.2005 03:57 17.408 atitvo32.dll 04.05.2005 03:52 204.800 ati2cqag.dll 03.05.2005 21:05 516.096 ati2sgag.exe 02.05.2005 14:07 5.396 atifglpf.xml 14.04.2005 14:28 114.968 FNTCACHE.DAT 08.04.2005 22:42 87.540 atiicdxx.dat 04.04.2005 14:09 3.069 jupdate-1.5.0_02-b09.log 21.03.2005 00:06 368.640 MatroskaSplitter.ax 17.03.2005 14:42 10.592 baur5s9q.dat 17.03.2005 14:42 178.648 ap2nqrd4.dat 17.03.2005 14:41 2.864 q10pvbrv.dat 17.03.2005 14:41 0 aavdesh9.html 17.03.2005 14:41 0 bqrufs5f.dat 17.03.2005 14:41 0 ritsacnk.dat 14.03.2005 21:30 61.440 pxhpinst.exe 12.03.2005 00:48 109.568 pxinsi64.exe 12.03.2005 00:48 108.544 pxcpyi64.exe 12.03.2005 00:48 56.832 pxcpya64.exe 12.03.2005 00:48 56.320 pxinsa64.exe 12.03.2005 00:28 151.552 pxwma.dll 12.03.2005 00:28 172.032 pxmas.dll 12.03.2005 00:28 339.968 pxwave.dll 12.03.2005 00:28 28.672 vxblock.dll 12.03.2005 00:28 405.504 pxdrv.dll 12.03.2005 00:28 339.968 px.dll 04.03.2005 03:36 127.078 javaws.exe 04.03.2005 03:36 49.265 jpicpl32.cpl 04.03.2005 02:07 49.250 javaw.exe 04.03.2005 02:06 49.248 java.exe 04.01.2005 15:37 3.243 jupdate-1.4.2_06-b03.log 03.01.2005 16:16 16 RgsData.dat 03.01.2005 00:52 848 KGyGaAvL.sys 03.01.2005 00:13 56 42FCA8EA7A.sys 01.01.2005 02:03 705.468 PerfStringBackup.INI 01.01.2005 02:03 305.454 perfh009.dat 01.01.2005 02:03 37.896 perfc009.dat 01.01.2005 02:03 45.870 perfc007.dat 01.01.2005 02:03 310.140 perfh007.dat 20.12.2004 11:10 61.440 xvid.ax 20.12.2004 11:08 155.648 xvidvfw.dll 20.12.2004 11:03 679.936 xvidcore.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0C3-A84D Verzeichnis von C:\DOKUME~1\STEFFE~1\LOKALE~1\Temp 20.08.2005 17:34 81 pi.sys 20.08.2005 16:16 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}7596.html 20.08.2005 15:50 16.384 ~DF71F8.tmp 20.08.2005 15:49 16.384 ~DF4AAA.tmp 20.08.2005 15:49 512 ~DF4AB3.tmp 20.08.2005 15:49 412 jusched.log 20.08.2005 10:01 16.384 ~DF2118.tmp 20.08.2005 10:01 16.384 ~DFC4FE.tmp 20.08.2005 04:17 0 urla 9 Datei(en) 67.524 Bytes 0 Verzeichnis(se), 2.905.653.248 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0C3-A84D Verzeichnis von C:\WINDOWS 20.08.2005 15:50 0 0.log 20.08.2005 15:50 159 wiadebug.log 20.08.2005 15:49 3.385.266 {00000000-00000000-0000000A-00001102-00000002-80641102}.CDF 20.08.2005 15:49 3.385.266 {00000000-00000000-0000000A-00001102-00000002-80641102}.BAK 20.08.2005 15:49 2.048 bootstat.dat 20.08.2005 10:01 32.604 SchedLgU.Txt 20.08.2005 10:01 50 wiaservc.log 20.08.2005 10:01 116 NeroDigital.ini 20.08.2005 06:00 1.125 winamp.ini 19.08.2005 16:58 2 flag.bla 19.08.2005 16:57 8.329 rzs.exe 12.08.2005 01:17 3.461 nero.INI 11.08.2005 17:14 34 cdplayer.ini 09.08.2005 00:41 99.970 UninstallFirefox.exe 09.08.2005 00:41 10.543 mozver.dat 30.07.2005 14:16 266.240 Setup1.exe 30.07.2005 14:16 74.752 ST6UNST.EXE 25.07.2005 05:09 600 win.ini 25.07.2005 05:09 227 system.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0C3-A84D Verzeichnis von C:\ 20.08.2005 17:47 0 sys.txt 20.08.2005 17:46 5.645 system.txt 20.08.2005 17:45 723 systemtemp.txt 20.08.2005 17:43 100.843 system32.txt 20.08.2005 15:49 805.306.368 pagefile.sys 20.08.2005 09:58 1.477 smitfiles.txt 25.07.2005 05:09 320 boot.ini 25.07.2005 04:57 0 mailz.txt 13.06.2005 14:10 312 itouch_crash_info.txt 28.03.2005 14:20 0 AUTOEXEC.BAT 28.03.2005 14:20 0 CONFIG.SYS 25.03.2005 17:56 5.399 data 17.03.2005 14:40 548 tmp.txt 13.08.2004 16:41 61 bananas.ini 14.07.2004 20:29 0 itouch_config_crash_info.txt 14.07.2004 19:40 0 IO.SYS 14.07.2004 19:40 0 MSDOS.SYS 14.07.2004 19:34 194 BOOT.BKK 18.08.2001 12:00 224.032 ntldr 18.08.2001 12:00 4.952 bootfont.bin 18.08.2001 12:00 45.124 NTDETECT.COM 21 Datei(en) 805.695.998 Bytes 0 Verzeichnis(se), 2.905.620.480 Bytes frei |
|
|
||
20.08.2005, 18:34
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@N4aN
ich weiss nicht, wozu diese dll gehoeren... rechtsklick: Eigenschaften (berichte) C:\WINDOWS\system32\birdihuy32.dll C:\WINDOWS\system32\birdihuy.dll Zitat 19.08.2005 17:56 248 system.htm•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\symcsvc.exe C:\WINDOWS\system32\ztoolbar.bmp C:\WINDOWS\system32\zlbw.dll C:\WINDOWS\system32\zksdfnsuidfsdiu.jhk C:\WINDOWS\flag.bla C:\WINDOWS\rzs.exe PC neustarten dann muesste wieder alles clean sein mache dennoch einen Onlinescan mit panda + berichte http://virus-protect.org/onlinescan.html ------------ Zlbw.dll is a Backdoor Trojan.Abwiz HKCU\Software\Microsoft\Windows\CurrentVersion\Run aupd <System>\symcsvc.exe Er kann auch so registriert werden, dass er einen Dienst namens "aupd" ausführt O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe und entsprechende Registrierungeinträge an folgender Stelle erzeugen: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices Registrierungeinträge werden außerdem an folgender Stelle erzeugt: HKCU\Network\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2005, 21:43
...neu hier
Themenstarter Beiträge: 10 |
#9
Habe leider noch immer das selbe Problem - PSGuard taucht zwar nicht mehr auf aber mein Desktop blinkt immernoch (seltsamerweise in 2 Blautönen) und lässt mich keinen Linksklick im leeren machen :\
Der Panda-Scan hat mir mit 0 Infekten geantwortet, denke mal das ist ein gutes Zeichen. Nochmal das Hijackthis-Log : Logfile of HijackThis v1.99.1 Scan saved at 21:40:07, on 20.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\D-Tools\daemon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ctsvccda.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\mIRC\mirc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\Winamp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\regedit.exe C:\Dokumente und Einstellungen\Steffen Triebel\Desktop\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess/exe/access_special.ocx O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DF5C1309-2822-483F-A8C3-75256501D791}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{FF35E58B-FEBB-49DF-A9E2-1AF3327CB1D5}: NameServer = 192.168.0.1 O21 - SSODL: AMIP - {FF726F8C-72EE-42A7-1319-85FDFBF77D9B} - c:\programme\winamp\plugins\tnyolt32.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\Ctsvccda.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe Die 2 DLL's wurden gestern erstellt, da dieses Problem erst gestern auftrat sollte ich die vielleicht löschen (?). |
|
|
||
20.08.2005, 21:47
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@N4aN
Fixe mit dem HijackThis: O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess/exe/access_special.ocx O21 - SSODL: AMIP - {FF726F8C-72EE-42A7-1319-85FDFBF77D9B} - c:\programme\winamp\plugins\tnyolt32.dll (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) PC neustarten Zitat *reg-Dateiwieder neustarten + berichten bitte ,) mache dennoch einen Onlinescan mit panda + berichte --> das Log vom Scan !! http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2005, 22:09
Ehrenmitglied
Beiträge: 6028 |
#11
@SAbina
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess/exe/access_special.ocx http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDIALER%2ECK&VSect=P __________ MfG Argus |
|
|
||
20.08.2005, 22:16
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@Arnold
Danke ...... Kommentar ...vielleicht braucht der User das noch... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2005, 01:12
...neu hier
Themenstarter Beiträge: 10 |
#13
Haha, danke für den Hinweis - habs mal entfernt, entgegen aller Vermutungen fehlt mir letztendlich jegliche Verwendung und Zuordnung dafür.
Kurze Zwischenbillanz: PSGuard bin ich wohl los und ich hab innerhalb des letzten Tages etwa 5 mir bis dato unbekannte Tools benutzt. Das für mich störendste Problem, nämlich die Verunstaltung meines Desktops wurde dadurch leider nicht gelöst, hatte vielleicht auch gar nichts damit zu tun - Der Platz, an dem ein Wallpaper stehen sollte blinkt ständig in Blautönen und erlaubt es mir nicht mit der linken Maustaste diese 'Kästchen' zu ziehen, außerdem muss man die Icons extrem präzise anklicken, damit sie funktionieren. Wie ich an meinen normalen Hintergrund kommen soll ist mir ein Rätsel, weder AntiVir noch die hier im Thread genannten Programme finden etwas |
|
|
||
21.08.2005, 13:39
Ehrenmitglied
Beiträge: 29434 |
#14
wenn du das korrekt durchfuehrst, wird wahrscheinlich wieder alles funktionieren:
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2005, 15:18
...neu hier
Themenstarter Beiträge: 10 |
#15
Ist geschehen, allerdings keine Veränderung festgestellt
|
|
|
||
Keine Ahnung wo ichs herhab oder herhaben könnte, hier mal das hijackthis-log:
Logfile of HijackThis v1.99.1
Scan saved at 22:18:37, on 19.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ctsvccda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Steffen Triebel\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocvn.dll/errorAPI.htm#ID=PX8594;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: BHO - {00000015-A527-34E7-25C2-03A4E313B2E9} - c:\WINDOWS\system32\winsrvs_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B20D470B-63CE-4B94-A46B-A5D904B1D3DD} - C:\WINDOWS\System32\blbd.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe home
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.eingang69.de/EroticAccess/exe/access_special.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF5C1309-2822-483F-A8C3-75256501D791}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF35E58B-FEBB-49DF-A9E2-1AF3327CB1D5}: NameServer = 192.168.0.1
O21 - SSODL: AMIP - {FF726F8C-72EE-42A7-1319-85FDFBF77D9B} - c:\programme\winamp\plugins\tnyolt32.dll (file missing)
O21 - SSODL: System - {A5729A67-2EBF-4EF0-A770-23FB84107947} - vr_sys.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\Ctsvccda.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: stchost.exe (moto) - Unknown owner - C:\WINDOWS\stchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe