browser hijacking - updateyoursystem.com |
||
---|---|---|
#0
| ||
27.11.2005, 23:07
...neu hier
Beiträge: 3 |
||
|
||
27.11.2005, 23:15
Ehrenmitglied
Beiträge: 29434 |
#2
Nobby020169
wende CleanUp an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html poste das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.11.2005, 23:34
...neu hier
Themenstarter Beiträge: 3 |
#3
Cleanup ist durchgelaufen, hier ist die datfindbat und der silentrunner:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC56-BD13 Verzeichnis von C:\WINDOWS\system32 27.11.2005 23:23 5.384 ncompat.tlb 27.11.2005 23:22 5.632 msvol.tlb 27.11.2005 23:22 2.117 Peter Jurczyk_KBD.ini --> ????? 27.11.2005 23:22 20.480 hpD7B3.tmp 27.11.2005 23:21 24.064 ldD379.tmp 27.11.2005 23:00 16.832 amcompat.tlb 27.11.2005 23:00 23.392 nscompat.tlb 27.11.2005 22:54 1.158 wpa.dbl 27.11.2005 21:30 40.326 perfc009.dat 27.11.2005 21:30 317.168 perfh007.dat 27.11.2005 21:30 311.938 perfh009.dat 27.11.2005 21:30 48.552 perfc007.dat 27.11.2005 21:30 723.568 PerfStringBackup.INI 26.11.2005 19:06 263 spupdwxp.log 26.11.2005 19:05 244.720 FNTCACHE.DAT 25.11.2005 14:05 2.560 MRT.INI 25.11.2005 13:15 13.916 nvctrl.exe 25.11.2005 08:05 4.286 ot.ico 25.11.2005 08:05 4.286 ts.ico 25.11.2005 08:05 9.732 mssearchnet.exe 25.11.2005 08:03 14.504 mscornet.exe 04.11.2005 16:27 534.280 LegitCheckControl.DLL 02.11.2005 10:49 2.377.568 MRT.exe 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 17:26 3.013.120 mshtml.dll 23.09.2005 04:06 8.491.520 shell32.dll 10.09.2005 02:54 2.067.968 cdosys.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC56-BD13 Verzeichnis von C:\DOKUME~1\PETERJ~1\LOKALE~1\Temp 27.11.2005 23:22 222 jusched.log 1 Datei(en) 222 Bytes 0 Verzeichnis(se), 51.531.444.224 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC56-BD13 Verzeichnis von C:\WINDOWS 27.11.2005 23:21 0 0.log 27.11.2005 23:21 1.193.505 WindowsUpdate.log 27.11.2005 23:21 159 wiadebug.log 27.11.2005 23:21 50 wiaservc.log 27.11.2005 23:21 2.048 bootstat.dat 27.11.2005 23:20 32.634 SchedLgU.Txt 27.11.2005 23:00 38.330 wmsetup.log 27.11.2005 23:00 32.767 setupapi.log 27.11.2005 23:00 466 wmsetup10.log 27.11.2005 23:00 521 win.ini 27.11.2005 22:59 316.640 WMSysPr9.prx 27.11.2005 22:58 4.718 tsoc.log 27.11.2005 22:58 684 ocmsn.log 27.11.2005 22:58 2.530 ntdtcsetup.log 27.11.2005 22:58 4.176 comsetup.log 27.11.2005 22:58 2.020 iis6.log 27.11.2005 22:58 1.393 imsins.log 27.11.2005 22:58 11.594 KB900930.log 27.11.2005 22:58 5.832 ocgen.log 27.11.2005 22:58 618 msgsocm.log 27.11.2005 22:58 12.365 FaxSetup.log 27.11.2005 22:58 11.179 KB887797.log 27.11.2005 22:58 0 setuperr.log 27.11.2005 22:58 0 setupact.log 27.11.2005 22:25 0 nsreg.dat 27.11.2005 22:24 99.970 UninstallFirefox.exe 27.11.2005 22:24 2.608 mozver.dat 25.11.2005 21:40 417 LEXSTAT.INI 25.11.2005 18:40 8.990 ModemLog_SENS LT56ADW Modem.txt 25.11.2005 13:14 52.736 cc.exe 25.11.2005 08:05 13.824 q2277875.dllren_ 22.11.2005 07:38 49 NeroDigital.ini 16.11.2005 08:29 1.008 cdPlayer.ini 30.10.2005 13:35 52 pex.INI 30.10.2005 12:55 583 Ulead32.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC56-BD13 Verzeichnis von C:\ 27.11.2005 23:30 0 sys.txt 27.11.2005 23:29 5.791 system.txt 27.11.2005 23:29 295 systemtemp.txt 27.11.2005 23:24 98.518 system32.txt 27.11.2005 23:21 535.875.584 hiberfil.sys 27.11.2005 23:21 805.306.368 pagefile.sys 26.11.2005 18:31 211 boot.ini 26.11.2005 18:20 47.564 NTDETECT.COM 26.11.2005 18:20 251.184 ntldr 01.11.2005 14:05 704 Outbreaker.dat 28.08.2005 21:35 294 CColorSD 27.05.2004 06:57 0 CONFIG.SYS 27.05.2004 06:57 0 IO.SYS 27.05.2004 06:57 0 AUTOEXEC.BAT 27.05.2004 06:57 0 MSDOS.SYS 02.04.2003 13:00 4.952 bootfont.bin 16 Datei(en) 1.341.591.465 Bytes 0 Verzeichnis(se), 51.531.436.032 Bytes frei "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "ProfiDialer" = (empty string) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "wininet.dll" = "mscornet.exe" [null data] "nvctrl.exe" = "nvctrl.exe" [null data] "kernel32.dll" = "C:\WINDOWS\System32\mssearchnet.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MagicKeyboard" = "C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [empty string] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "mmtask" = "c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" [file not found] "MMTray" = "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" ["MUSICMATCH, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "Lexmark X74-X75" = ""C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"" ["Lexmark International, Inc."] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {7caf96a2-c556-460a-988e-76fc7895d284}\(Default) = "HomepageBHO" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hpD7B3.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ INFECTION WARNING! "{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}" = "st3" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\st3.dll" [file not found] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! st3\DLLName = "C:\WINDOWS\system32\st3.dll" [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Peter Jurczyk\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\sstext3d.scr" [MS] Startup items in "Peter Jurczyk" & "All Users" startup folders: ---------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}\ "ButtonText" = "eBay - Homepage" "CLSIDExtension" = "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\shdocvw.dll" [MS] "Exec" = "C:\Programme\IrfanView\Ebay\Ebay.htm" [null data] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] iPod Service, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."] LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 43 seconds, including 18 seconds for message boxes) |
|
|
||
28.11.2005, 00:17
Ehrenmitglied
Beiträge: 29434 |
#4
Nobby020169
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\cc.exe C:\WINDOWS\q2277875.dllren_ ---------------------------------------------------------------------------------- mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg ------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hpD7B3.tmp C:\WINDOWS\system32\ldD379.tmp C:\WINDOWS\system32\amcompat.tlb C:\WINDOWS\system32\nscompat.tlb C:\WINDOWS\system32\Peter Jurczyk_KBD.ini C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\cc.exe C:\WINDOWS\q2277875.dllren_ C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\mscornet.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread scanne mit Panda--> und poste hier den scanreport http://virus-protect.org/onlinescan.html ---------------------------------------------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ProfiDialer" weisst du was von einem Profidialer auf deinem System ???? -------------------------------------------------------------------- Info: nvctrl.exe,ts.ico,ot.ico,mscornet.exe http://virus-protect.org/artikel/spyware/mscornet.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.11.2005, 08:11
Member
Beiträge: 15 |
#5
Hallo!!
Anbei nun mein Problem. Habe mir smitfraud.d eingefangen und ihn auch soweit beseitigt mit verschiedenen tools. Sabina kannst du mir vielleicht sagen was noch gemacht werden muss?? |
|
|
||
28.11.2005, 09:52
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat emiliodilupo posteteich weiss nicht, warum du dich in diesen Thread hier reinhaengst. Ich habe einen fuer dich erstellt. Setze unten ein Haekchen bei: "Aktivieren Sie dieses Kaestchen, um uber weitere Antworten per Mail........" http://board.protecus.de/t20463-1.htm#206318 und kopiere alles in diesen Thread. Dieser hier ist fuer einen anderen User.(Nobby020169) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.11.2005, 21:27
...neu hier
Themenstarter Beiträge: 3 |
#7
Hallo Sabina,
hab zwar irgendwann mal den Überblick verloren, was ich eigentlich gemacht habe, aber es hat geholfen - ich bin clean. Hab lieben Dank. Wollte mich gerade über Paypal erkenntlich zeigen, da gibt es aber gerade technische Schwierigkeiten. Werde es morgen wieder versuchen, wenn ich es nicht vergesse. Liebe Grüße Nobby |
|
|
||
habe mir spyware eingefangen. Ich erhalte ständig die nervenden Meldungen "Your System is infected with spyware", ein "System alert", u.s.w. Meine Startseite im IE ist weg, dafür werde ich auf die Seite updateyoursystem.com geleitet. Habe einige Cleaner versucht, aber wohl nicht alles richtig gemacht. Könnt Ihr mir helfen? Hier ist der logfile von hijack this:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Peter Jurczyk\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpD867.tmp
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
Danke und Grüße
Norbert