Habe ein Problem mit Spyaxe und Malware! ;/

#1 Hallo

so, vorweg, ich habe nicht viel ahnung von PCs ;/

ist auch egal ich hoffe ihr könnt mir helfen und sagen was ich zu tun hab damit mein Rechner von Spyaxe los kommt und mein Rechner nicht mehr irgendwelche Seiten aufruft!

Ich hab diesen Virus?! (ist das ein Virus?) nun seid gut 4tagen drauf, hab verschiedene programme wie smitrem, spybot und adaware laufen lassen, die haben alle nicht geholfen und mein anti vir programm findet auch nichts

Unten in der Taskleiste ist ein Symbol, ein gelbes dreieck mit nem schwarzen ausrufe zeichen, dadrin steht: your computer is infecct....

bitte helft mir, systemwiederherrstellung funktioniert auch nicht!

#2 Hier fängt es an poste das log von Hijack This
HijackThis direct download: http://216.180.233.162/~merijn/files/HijackThis.exe
Welche version von SmitRem wird benutzt
__________
MfG Argus

#3 Ich benutze Smitrem version 2.8!

hier die logs. Beim ausführen der Exe hatte ich einen Error (wollte ich nur gesagt haben)

Logfile of HijackThis v1.99.1
Scan saved at 10:19:05, on 10.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\spiele\steam\steam.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 81.169.168.38 L2authd.lineage2.com #Devil's Lineage C3 Server
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\System32\hp5CFF.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Registration Brothers In Arms.LNK = D:\Support\Register\RegistrationReminder.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


so das wärs, hoffe ihr könnt mir nun helfen plz *verzweifel*

#4 Rar

diese Hosteinstellung ist gewollt?
O1 - Hosts: 81.169.168.38 L2authd.lineage2.com #Devil's Lineage C3 Server

kennst du diesen Server?

andere Frage:
wieso traust du dich ohne jedes Windowsupdates ins Netz ????

-------------------------------------------------------------------------
wende Cleanup an
http://virus-protect.org/cleanup.html

4 Textdateien hier posten
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 danke für eine antwort *freu*

nein der server ist nicht gewollt, wie änder ich das denn? blöde frage, aber ich weiß es wirklich nicht

erm wo bekomm ich denn ein update her? oha.. -.-

#6 wir bringen das in Ordnung, aber zuerst brauche ich folgendes:

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (2 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ich hab bei cleanup das auch so eingestellt wie das da abgebildet ist und habs durchlaufen lassen


soo ok das erste hoffe es ist alles richtig.
1:

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: D01F-FB26

Verzeichnis von C:\WINDOWS\system32

12.12.2005 15:02 5.088 ncompat.tlb
12.12.2005 14:56 6.144 msvol.tlb
12.12.2005 14:56 24.064 ld49FD.tmp
12.12.2005 14:56 9.932 hp45D7.tmp
12.12.2005 14:49 9.780 mssearchnet.exe
12.12.2005 14:47 9.932 hp9B17.tmp
12.12.2005 14:47 24.064 ld9A6B.tmp
12.12.2005 13:57 2.184 wpa.dbl
10.12.2005 22:04 15.484 nvctrl.exe
07.12.2005 19:13 14.396 mscornet.exe
10.11.2005 21:17 2.377.568 MRT.exe
08.11.2005 17:01 1.140 qtplugin.log
30.10.2005 09:47 2.116.992 TUKernel.exe
30.10.2005 08:56 311.912 perfh009.dat
30.10.2005 08:56 40.108 perfc009.dat
30.10.2005 08:56 316.942 perfh007.dat
30.10.2005 08:56 48.276 perfc007.dat
30.10.2005 08:56 724.660 PerfStringBackup.INI
02.10.2005 09:29 91.088 FNTCACHE.DAT
19.09.2005 17:34 3.534 jupdate-1.5.0_03-b07.log

2:
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: D01F-FB26

Verzeichnis von C:\DOKUME~1\Deus\LOKALE~1\Temp

12.12.2005 15:04 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}6913.html
12.12.2005 15:01 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}2069.html
12.12.2005 15:00 16.384 ~DF7AD6.tmp
12.12.2005 15:00 512 ~DF7AC8.tmp
12.12.2005 15:00 16.384 ~DF7ABD.tmp
12.12.2005 15:00 16.384 ~DF7A8B.tmp
12.12.2005 15:00 512 ~DF7A96.tmp
12.12.2005 15:00 16.384 ~DF7AA4.tmp
12.12.2005 15:00 512 ~DF7AAF.tmp
12.12.2005 15:00 512 ~DF7AE1.tmp
12.12.2005 14:57 16.384 ~DF36D.tmp
12.12.2005 14:57 16.384 ~DF333C.tmp
12.12.2005 14:57 512 ~DF334A.tmp
13 Datei(en) 102.825 Bytes
0 Verzeichnis(se), 5.388.881.920 Bytes frei

3:

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: D01F-FB26

Verzeichnis von C:\WINDOWS

12.12.2005 15:00 280.940 WindowsUpdate.log
12.12.2005 14:57 159 wiadebug.log
12.12.2005 14:57 50 wiaservc.log
12.12.2005 14:55 2.973 svcpack.log
12.12.2005 14:47 0 0.log
12.12.2005 14:47 2.048 bootstat.dat
12.12.2005 14:46 32.642 SchedLgU.Txt
12.12.2005 14:34 28.199 xpsp1hfm.log
12.12.2005 14:34 54.875 comsetup.log
12.12.2005 14:34 32.873 ntdtcsetup.log
12.12.2005 14:34 224.806 iis6.log
12.12.2005 14:34 35.384 KB835732.log
12.12.2005 14:34 1.393 imsins.log
12.12.2005 14:34 69.596 tsoc.log
12.12.2005 14:34 5.678 ocmsn.log
12.12.2005 14:34 72.936 ocgen.log
12.12.2005 14:34 7.108 msgsocm.log
12.12.2005 14:34 128.844 FaxSetup.log
12.12.2005 14:34 51.654 msmqinst.log
12.12.2005 14:34 54.107 setupapi.log
12.12.2005 14:34 35.741 Q810833.log
12.12.2005 14:34 1.393 imsins.BAK
12.12.2005 14:32 23.877 KB834707-IE6-20040929.115007.log
12.12.2005 14:32 22.582 KB828741.log
12.12.2005 14:32 1.216.104 setupapi.log.0.old
12.12.2005 14:31 12.834 Q329834.log
12.12.2005 14:31 23.340 KB823559.log
12.12.2005 14:30 22.895 Q817606.log
12.12.2005 14:29 22.429 Q329441.log
12.12.2005 14:28 18.994 Q810577.log
12.12.2005 14:27 15.965 Q811630.log
12.12.2005 14:26 12.546 Q329170.log
12.12.2005 14:25 1.604 Q329115.log
12.12.2005 14:25 1.243 Q329390.log
12.12.2005 14:25 960 Q323255.log
12.12.2005 14:24 650 Q329048.log
12.12.2005 14:14 6.252 KB842773.log
12.12.2005 14:14 148.031 setupact.log
11.12.2005 21:30 1.233 winamp.ini
09.12.2005 22:19 833.148 ntbtlog.txt
08.12.2005 19:01 1.409 QTFont.for
08.12.2005 19:01 54.156 QTFont.qfn
03.12.2005 13:44 754 WORDPAD.INI
26.11.2005 22:36 11.606 wmsetup.log
08.11.2005 17:02 304 GEARInstall.log
29.10.2005 22:07 182.272 NDNuninstall6_98.exe
12.10.2005 18:34 267 cod2demo.ini
11.10.2005 14:43 227 system.ini
11.10.2005 14:43 608 win.ini
11.10.2005 14:39 1.422 KB887472.log
05.10.2005 19:14 490.806 DirectX.log
01.10.2005 21:16 525 QIII.INI


4:

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: D01F-FB26

Verzeichnis von C:\

12.12.2005 15:08 0 sys.txt
12.12.2005 15:07 6.457 system.txt
12.12.2005 15:05 972 systemtemp.txt
12.12.2005 15:03 92.586 system32.txt
12.12.2005 14:47 805.306.368 pagefile.sys
09.12.2005 22:25 2.153 smitfiles.txt
30.10.2005 09:47 355 boot.ini



so hoffe das ist richitg

#8 Rar

SpyAxeFix.exe
http://noahdfear.geekstogo.com/click%20counter/click.php?id=8

-->> schliesse alle anderen Programme
-->> doppeltklicken SpyAxeFix.exe
-->> SpyAxeFix.bat
-->> wenn deas Tool abgearbeitet ist, wird der PC neustarten

--------------------------------------------------------------------------

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen -> dann erscheint eine mcor.reg auf dem Bildschirm

http://virus-protect.org/reg/mcor.reg

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

----------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\ld49FD.tmp
C:\WINDOWS\system32\hp45D7.tmp
C:\WINDOWS\System32\hp5CFF.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\hp9B17.tmp
C:\WINDOWS\system32\ld9A6B.tmp
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe
C:\WINDOWS\NDNuninstall6_98.exe

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an
und klicke die

mcor.reg
spyaxe.reg

doppelt --> fuege sie mit "ja" oder "yes" der Registry bei

--------------------------------------------------------------------
öffne das HijackThis --
-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\System32\hp5CFF.tmp

PC neustarten

loesche:
C:\Programme\SpyAxe
C:\Program Files\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\Username\Favoriten\Take It Here - Daily Updated Porn Links.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\Dokumente und Einstellungen\Username\Favoriten\Antivirus Test Online.url

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und kopiere die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit

#9 habe manches nicht hinbekommen, wie zum beispiel mit dem administrator einloggen, dann hab ich garnicht die desktop icons und ich weiß nicht ob die smitfiles.txt datei so richtig ist, hoffe es natürlich


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
ld****.tmp
mssearchnet.exe
ncompat.tlb
mscornet.exe


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1576 'explorer.exe'
Killing PID 1576 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

ld****.tmp
mssearchnet.exe
ncompat.tlb
mscornet.exe


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


Edit: ich kann google wieder benutzen, ist glaub ich nen gutes zeichen und wenn mein rechner nun wieder sauber ist, schick ich dir eine merci packung musst mir nur per pm deine daten schicken!

#10 Rar

Trend Micro Anti-Spyware
http://virus-protect.org/microtrend.html

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky --> loesche dann manuell, was gefunden wird (poste den scanreport)
http://virus-protect.org/onlinescan.html

--------------------------------

falls du ihn noch nicht hast...lade zum Schluss den Firefox und surfe nur noch mit ihm
http://virus-protect.org/firefox.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 ich muss nur noch mit kaspersky scannen...kann es sein das das ziemlich lange dauert? muss da ja die sachen einzelnd wählen..und dann noch scannen.

#12 Rar

du hast doch Zeit
Leider faengt man sich die Malware schneller ein, als man sie wieder los wird

beim Kaspersky Onlinescan muss man nichts einzeln waehlen...es ist ein normaler PC-Scan (nicht den File-scan nehmen......)
__________
MfG Sabina

rund um die PC-Sicherheit

#13 ich muss da doch zwischen:critical areas; My computer; my email; folders und a file

wählen oder nich? *verwirrt ist*

Edit: da ich nun den Firefox explorer benutze kann ich diesen kaspersky scan nicht mehr durchführen ;(

#14 Rar

du hast doch noch den IE, benutzen ihn, wenn du den scan ausfuehrst, man kann doch zwischen den Browsern waehlen.

dann lasse alles scannen
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Habe auch das oben genannte Problem:

Hier mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:01:57, on 14.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\3D\H3dTweaker.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\3D\D3D3DTwkAnim.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\wisptis.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sven\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp838.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programme\3D\H3dTweaker.exe -hide
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Delta Force-Black Hawk Down Team Sabre Produktregistrierung.lnk = Lokale Einstellungen\Temp\{4003C9DB-4542-4E73-BBBC-9F61C37AE57A}\{6164D2E7-986B-42F5-B3A6-64D5E53FB889}\NOVG.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .MPG: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

HIIIIIILFEEEEE!!!!!