W32/Nsag.B + WinHoundThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.01.2006, 22:56
Member
Beiträge: 13 |
||
|
||
10.01.2006, 11:49
Ehrenmitglied
Beiträge: 29434 |
#2
Chr1s
obwohl ich nicht gerne Systeme reinige, welche noch nie ein WindowsUpdate gesehen haben...... stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.01.2006, 13:26
Member
Themenstarter Beiträge: 13 |
#3
hm... irgendwie falsch oder?? naja hier nochmal:
1. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CCF-DEA0 Verzeichnis von C:\WINDOWS\system32 08.01.2006 13:09 23.904 stub25.ini 08.01.2006 13:09 23.580 stub24.ini 08.01.2006 13:09 24.085 stub23.ini 08.01.2006 13:08 23.060 stub22.ini 08.01.2006 13:06 23.219 stub21.ini 08.01.2006 13:06 23.685 stub20.ini 08.01.2006 13:06 22.835 stub19.ini 08.01.2006 13:06 22.118 stub18.ini 08.01.2006 13:06 23.395 stub17.ini 08.01.2006 13:04 23.622 stub16.ini 08.01.2006 13:03 23.264 stub15.ini 08.01.2006 13:02 23.847 stub14.ini 08.01.2006 13:02 23.745 stub13.ini 08.01.2006 13:01 23.567 stub12.ini 08.01.2006 13:00 23.501 stub11.ini 08.01.2006 13:00 23.416 stub10.ini 08.01.2006 12:59 23.496 stub9.ini 08.01.2006 12:57 23.318 stub8.ini 08.01.2006 12:56 23.344 stub7.ini 08.01.2006 12:56 23.619 stub6.ini 08.01.2006 12:52 23.500 stub5.ini 08.01.2006 12:45 23.246 stub4.ini 08.01.2006 12:43 23.166 stub3.ini 08.01.2006 12:41 22.711 stub2.ini 08.01.2006 12:41 22.854 stub1.ini 06.01.2006 09:52 1.199 logs1.ini 04.01.2006 18:38 2.184 wpa.dbl 25.12.2005 11:19 7.006 jupdate-1.5.0_06-b05.log 22.12.2005 20:43 39.992 perfc009.dat 22.12.2005 20:43 316.594 perfh007.dat 22.12.2005 20:43 48.156 perfc007.dat 22.12.2005 20:43 311.604 perfh009.dat 22.12.2005 20:43 723.744 PerfStringBackup.INI 13.12.2005 02:49 0 logs2.ini 11.12.2005 20:05 11.895 atlrw.exe 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 25.10.2005 12:28 4.720 ide21201.vxd 23.10.2005 22:40 25.065 wmpscheme.xml 23.10.2005 22:39 16.832 amcompat.tlb 23.10.2005 22:39 23.392 nscompat.tlb 19.10.2005 20:37 278.528 pncrt.dll 17.10.2005 20:58 65.536 QuickTimeVR.qtx 17.10.2005 20:57 49.152 QuickTime.qts 17.10.2005 17:45 91.888 FNTCACHE.DAT 28.09.2005 22:29 688.128 divx_xx07.dll 28.09.2005 22:29 688.128 divx_xx0c.dll 28.09.2005 22:29 671.744 divx_xx11.dll 08.09.2005 15:49 86.016 dpl100.dll 08.09.2005 15:49 589.824 dpuGUI11.dll 08.09.2005 15:49 200.704 dtu100.dll 08.09.2005 15:49 315.392 dpus11.dll 08.09.2005 15:49 57.344 dpv11.dll 08.09.2005 15:49 253.952 dpu11.dll 25.08.2005 12:20 3.799 jupdate-1.5.0_04-b05.log 09.08.2005 23:13 4.276 divxsm.tlb 09.08.2005 23:13 524.288 DivXsm.exe 09.08.2005 23:13 10.775 dsm_ja.qm 09.08.2005 23:13 15.351 dsm_de.qm 09.08.2005 23:13 15.153 dsm_fr.qm 09.08.2005 23:13 831.488 libeay32.dll 09.08.2005 23:13 245.408 unicows.dll 09.08.2005 23:13 159.744 ssleay32.dll 09.08.2005 23:12 3.596.288 qt-dx331.dll 09.08.2005 23:12 8.523 dpude.qm 09.08.2005 23:12 3.136 dtu_de.qm 09.08.2005 23:12 356.436 DivXMedia.ax 31.05.2005 10:20 79.432 GEARAspi.dll 04.04.2005 12:52 180.224 xvidvfw.dll 04.04.2005 12:35 745.472 xvidcore.dll 24.03.2005 20:34 3.069 jupdate-1.5.0_02-b09.log 17.03.2005 15:39 34.064 lhacm.acm 16.03.2005 23:39 44 msssc.dll 16.03.2005 23:18 618 $winnt$.inf 16.03.2005 23:16 2.951 CONFIG.NT 16.03.2005 23:15 488 logonui.exe.manifest 16.03.2005 23:15 488 WindowsLogon.manifest 16.03.2005 23:15 749 ncpa.cpl.manifest 16.03.2005 23:15 749 sapi.cpl.manifest 16.03.2005 23:15 749 wuaucpl.cpl.manifest 16.03.2005 23:15 749 cdplayer.exe.manifest 16.03.2005 23:15 749 nwc.cpl.manifest Dieser Beitrag wurde am 10.01.2006 um 13:41 Uhr von Chr1s editiert.
|
|
|
||
10.01.2006, 14:33
Ehrenmitglied
Beiträge: 29434 |
#4
wer lesen kann ist klar im Vorteil ...wird auf meiner Seite nicht von 3 Monaten (maximal ) gesprochen...die Daten sind per Datum geordnet....
poste also noch die fehlenden 3 Logs __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.01.2006, 18:53
Member
Themenstarter Beiträge: 13 |
#5
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CCF-DEA0 Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp 10.01.2006 18:47 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20148.html 10.01.2006 18:45 16.992 iexmlrnd.dat 10.01.2006 18:45 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}27749.html 10.01.2006 18:45 16.384 ~DF174C.tmp 10.01.2006 18:45 16.384 ~DFF1F.tmp 10.01.2006 18:45 512 ~DFF2B.tmp 10.01.2006 13:23 206 jusched.log 7 Datei(en) 52.439 Bytes 0 Verzeichnis(se), 4.508.684.288 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CCF-DEA0 Verzeichnis von C:\WINDOWS 10.01.2006 18:45 370.323 WindowsUpdate.log 10.01.2006 18:45 0 0.log 10.01.2006 18:44 2.048 bootstat.dat 10.01.2006 13:48 32.562 SchedLgU.Txt 09.01.2006 20:44 95 winamp.ini 08.01.2006 21:41 12.271 iewz32.exe 07.01.2006 03:33 707 _default.pif 28.12.2005 22:16 13.581 kgkfm.dat 28.12.2005 04:58 197.761 vinqj.dat 27.12.2005 04:24 11.895 d3tb32.exe 22.12.2005 19:25 139 msicpl.ini 16.12.2005 08:38 26.680 F„cher.bmp 02.12.2005 00:36 133.120 vgraph.dll 23.10.2005 22:42 316.640 WMSysPr9.prx 23.10.2005 22:40 724 win.ini 17.10.2005 17:50 137 uno.ini 17.10.2005 12:50 51.712 wc98pp.dll 04.06.2005 21:55 737.280 iun6002.exe 14.04.2005 22:18 1.136.928 Klejbors_Screen_Saver.scr 16.03.2005 23:37 3.823 Ascd_tmp.ini 16.03.2005 23:19 8.192 REGLOCS.OLD 16.03.2005 23:16 0 control.ini 16.03.2005 23:16 299.552 WMSysPrx.prx 16.03.2005 23:16 4.161 ODBCINST.INI 16.03.2005 23:15 749 WindowsShell.Manifest 16.03.2005 23:12 36 vb.ini 16.03.2005 23:12 37 vbaddin.ini 16.03.2005 23:07 231 system.ini 15.03.2004 19:28 69.120 daemon.dll 17.12.2003 09:50 19.968 LOGI_MWX.EXE 12.05.2003 16:55 978.944 SynthCoreA.Dll 21.09.2002 19:13 10.752 hh.exe 30.08.2002 13:59 380.928 SynCor.exe 18.08.2001 13:00 82.944 clock.avi 18.08.2001 13:00 1.272 Blaue Spitzen 16.bmp 18.08.2001 13:00 65.978 Seifenblase.bmp 18.08.2001 13:00 17.362 Rhododendron.bmp 18.08.2001 13:00 141.312 regedit.exe 18.08.2001 13:00 65.954 Pr„riewind.bmp 18.08.2001 13:00 15.872 TASKMAN.EXE 18.08.2001 13:00 94.800 twain.dll 18.08.2001 13:00 46.592 twain_32.dll 18.08.2001 13:00 49.680 twunk_16.exe 18.08.2001 13:00 25.600 twunk_32.exe 18.08.2001 13:00 9.522 Zapotek.bmp 18.08.2001 13:00 2 desktop.ini 18.08.2001 13:00 67.072 NOTEPAD.EXE 18.08.2001 13:00 1.405 msdfmap.ini 18.08.2001 13:00 17.062 Kaffeetasse.bmp 18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp 18.08.2001 13:00 18.944 vmmreg32.dll 18.08.2001 13:00 1.004.032 explorer.exe 18.08.2001 13:00 34.818 wmprfDEU.prx 18.08.2001 13:00 26.582 Granit.bmp 18.08.2001 13:00 16.730 Feder.bmp 18.08.2001 13:00 80 explorer.scf 18.08.2001 13:00 17.336 Angler.bmp 18.08.2001 13:00 257.568 winhelp.exe 18.08.2001 13:00 271.872 winhlp32.exe 18.08.2001 13:00 48.680 winnt.bmp 18.08.2001 13:00 48.680 winnt256.bmp 14.02.2001 22:00 109.568 vos364mi.dll 14.02.2001 22:00 287.744 uno364mi.dll 14.02.2001 22:00 91.648 osl364mi.dll 17.11.1998 13:44 328.704 IsUn0407.exe 29.10.1998 14:45 306.688 IsUninst.exe 66 Datei(en) 8.459.031 Bytes 0 Verzeichnis(se), 4.508.684.288 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CCF-DEA0 Verzeichnis von C:\ 10.01.2006 18:50 0 sys.txt 10.01.2006 18:50 3.495 system.txt 10.01.2006 18:50 686 systemtemp.txt 10.01.2006 18:50 98.311 system32.txt 10.01.2006 18:44 1.610.612.736 pagefile.sys 02.05.2005 12:19 0 itouch_crash_info.txt 16.03.2005 23:10 194 boot.ini 10.09.2004 21:15 0 AUTOEXEC.BAT 10.09.2004 21:15 0 MSDOS.SYS 10.09.2004 21:15 0 IO.SYS 10.09.2004 21:15 0 CONFIG.SYS 18.08.2001 13:00 4.952 bootfont.bin 18.08.2001 13:00 45.124 NTDETECT.COM 18.08.2001 13:00 224.032 ntldr 14 Datei(en) 1.610.989.530 Bytes 0 Verzeichnis(se), 4.508.684.288 Bytes frei Hm.. bis 2001 zurück... sehr lustig. naja hat mir datFind so ausgespuckt. Hatte eben schon alle 4 logs kopiert, ka warum nur der erste gepostet wurde! Das Rotmarkierte löschen?? Wenn ja, wie?? MFG Dieser Beitrag wurde am 10.01.2006 um 18:59 Uhr von Chr1s editiert.
|
|
|
||
11.01.2006, 00:51
Ehrenmitglied
Beiträge: 29434 |
#6
Chr1s
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\wc98pp.dll ---------------------------------------------------------------------------- Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: WinHound Press 'OK' öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbtbq.dll/sp.html#53142%resultposition.net R3 - Default URLSearchHook is missing O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll O4 - HKLM\..\Run: [A0.tmp] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe O4 - HKLM\..\Run: [A0.tmp.exe] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe PC neustarten KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\stub25.ini C:\WINDOWS\system32\stub24.ini C:\WINDOWS\system32\stub23.ini C:\WINDOWS\system32\stub22.ini C:\WINDOWS\system32\stub21.ini C:\WINDOWS\system32\stub20.ini C:\WINDOWS\system32\stub19.ini C:\WINDOWS\system32\stub18.ini C:\WINDOWS\system32\stub17.ini C:\WINDOWS\system32\stub16.ini C:\WINDOWS\system32\stub15.ini C:\WINDOWS\system32\stub14.ini C:\WINDOWS\system32\stub13.ini C:\WINDOWS\system32\stub12.ini C:\WINDOWS\system32\stub11.ini C:\WINDOWS\system32\stub10.ini C:\WINDOWS\system32\stub9.ini C:\WINDOWS\system32\stub8.ini C:\WINDOWS\system32\stub7.ini C:\WINDOWS\system32\stub6.ini C:\WINDOWS\system32\stub5.ini C:\WINDOWS\system32\stub4.ini C:\WINDOWS\system32\stub3.ini C:\WINDOWS\system32\stub2.ini C:\WINDOWS\system32\stub1.ini C:\WINDOWS\system32\logs1.ini C:\WINDOWS\system32\logs2.ini C:\WINDOWS\system32\atlrw.exe C:\WINDOWS\system32\ide21201.vxd C:\WINDOWS\system32\cbtbq.dll C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\ iexmlrnd.dat C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe C:\WINDOWS\vgraph.dll C:\WINDOWS\iewz32.exe C:\WINDOWS\_default.pif C:\WINDOWS\kgkfm.dat C:\WINDOWS\vinqj.dat C:\WINDOWS\d3tb32.exe C:\WINDOWS\msicpl.ini C:\WINDOWS\F„cher.bmp C:\WINDOWS\iun6002.exe PC neustarten deinstallieren (der ist schuld an der verseuchung )...du musst sehr umnebelt gewsen sei, als du das geladen hast ...nun ja...jemand, der nicht weiss, das es SicherheitsUpdates fuer Windows gibt...... C:\Programme\WinHound SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> kopiere hier den Report ADSSpy--> kopiere hier den scanreport http://virus-protect.org/artikel/tools/ADSSpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 02:36
Member
Themenstarter Beiträge: 13 |
#7
Hi
Also die Dateien C:\WINDOWS\system32\cbtbq.dll C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe die ich mit der Killbox löschen sollte, gibts nicht. This is a report processed by VirusTotal on 01/11/2006 at 01:07:52 (CET) after scanning the file "wc98pp.dll" file. Antivirus Version Update Result AntiVir 6.33.0.77 01.10.2006 no virus found Avast 4.6.695.0 01.09.2006 no virus found AVG 718 01.10.2006 no virus found Avira 6.33.0.77 01.10.2006 no virus found BitDefender 7.2 01.11.2006 no virus found CAT-QuickHeal 8.00 01.10.2006 no virus found ClamAV devel-20051123 01.10.2006 no virus found DrWeb 4.33 01.10.2006 no virus found eTrust-Iris 7.1.194.0 01.10.2006 no virus found eTrust-Vet 12.4.1.0 01.10.2006 no virus found Ewido 3.5 01.10.2006 no virus found Fortinet 2.54.0.0 01.10.2006 no virus found F-Prot 3.16c 01.10.2006 no virus found Ikarus 0.2.59.0 01.10.2006 no virus found Kaspersky 4.0.2.24 01.11.2006 no virus found McAfee 4671 01.10.2006 no virus found NOD32v2 1.1359 01.10.2006 no virus found Norman 5.70.10 01.10.2006 no virus found Panda 9.0.0.4 01.10.2006 no virus found Sophos 4.01.0 01.11.2006 no virus found Symantec 8.0 01.11.2006 no virus found TheHacker 5.9.2.071 01.10.2006 no virus found UNA 1.83 01.10.2006 no virus found VBA32 3.10.5 01.10.2006 no virus found VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español -------------------------------------------------------------------------------- www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "WinHound" 11.01.2006 01:09:07 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinHound"="C:\\Programme\\WinHound\\WinHound.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com] [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "RegistrationUrl"="http://www.winhound.com/register/142.0.2" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] @="C:\\Programme\\WinHound" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "InstallDir"="C:\\Programme\\WinHound" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "DatabaseFile"="C:\\Programme\\WinHound\\sig.dat" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "ResourceDll"="C:\\Programme\\WinHound\\rc.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound] "QuarantineLocation"="C:\\Programme\\WinHound\\Trash" [HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound\WinHound] smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key present! Running WinHound.com fix! WinHound.com key was successfully removed! spyaxe uninstaller NOT present Winhound uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1396 'explorer.exe' Killing PID 1396 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! Wie gehts nun weiter, Virus is ja noch drauf :-( Lg Dieser Beitrag wurde am 11.01.2006 um 02:39 Uhr von Chr1s editiert.
|
|
|
||
11.01.2006, 09:38
Ehrenmitglied
Beiträge: 29434 |
#8
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 13:57
Member
Themenstarter Beiträge: 13 |
#9
So, hier der Scanreport:
Spyware Scan Details Start Date: 11.01.2006 13:41:41 End Date: 11.01.2006 13:49:32 Total Time: 7 mins 51 secs Detected spyware NewDotNet Browser Plug-in more information... Details: New.Net is an Internet Explorer spyware/hijacker plug-in that adds subdomains of 'new.net' to your name resolution system (Windows’ Host file), resulting in what appear to be extra top-level domains (.shop, and so on) being resolvable. Status: Deleted Infected files detected c:\programme\newdotnet\newdotnet6_38.dll c:\programme\newdotnet\readme.html c:\programme\newdotnet\uninstall6_38.exe Spyware.SearchAssistant Spyware more information... Status: Deleted Infected files detected c:\dokumente und einstellungen\christoph\favoriten\sites about\ab scissor.url c:\dokumente und einstellungen\christoph\favoriten\sites about\broadband comparison.url c:\dokumente und einstellungen\christoph\favoriten\sites about\credit counseling.url c:\dokumente und einstellungen\christoph\favoriten\sites about\credit report.url c:\dokumente und einstellungen\christoph\favoriten\sites about\crm software.url c:\dokumente und einstellungen\christoph\favoriten\sites about\debt credit card.url c:\dokumente und einstellungen\christoph\favoriten\sites about\escorts.url c:\dokumente und einstellungen\christoph\favoriten\sites about\fha.url c:\dokumente und einstellungen\christoph\favoriten\sites about\health insurance.url c:\dokumente und einstellungen\christoph\favoriten\sites about\help desk software.url c:\dokumente und einstellungen\christoph\favoriten\sites about\insurance home.url c:\dokumente und einstellungen\christoph\favoriten\sites about\loan for debt consolidation.url c:\dokumente und einstellungen\christoph\favoriten\sites about\loan for people with bad credit.url c:\dokumente und einstellungen\christoph\favoriten\sites about\marketing email.url c:\dokumente und einstellungen\christoph\favoriten\sites about\mortgage insurance.url c:\dokumente und einstellungen\christoph\favoriten\sites about\mortgage life insurance.url c:\dokumente und einstellungen\christoph\favoriten\sites about\nevada corporations.url c:\dokumente und einstellungen\christoph\favoriten\sites about\online betting site.url c:\dokumente und einstellungen\christoph\favoriten\sites about\online gambling casino.url c:\dokumente und einstellungen\christoph\favoriten\sites about\online instant loan.url c:\dokumente und einstellungen\christoph\favoriten\sites about\order phentermine.url c:\dokumente und einstellungen\christoph\favoriten\sites about\payroll advance.url c:\dokumente und einstellungen\christoph\favoriten\sites about\personal loans online.url c:\dokumente und einstellungen\christoph\favoriten\sites about\personal loans with bad credit.url c:\dokumente und einstellungen\christoph\favoriten\sites about\prescription drugs rx online.url c:\dokumente und einstellungen\christoph\favoriten\sites about\refinancing my mortgage.url c:\dokumente und einstellungen\christoph\favoriten\sites about\tahoe vacation rental.url c:\dokumente und einstellungen\christoph\favoriten\sites about\unsecured bad credit loans.url c:\dokumente und einstellungen\christoph\favoriten\sites about\videos.url c:\dokumente und einstellungen\christoph\favoriten\sites about\what is hydrocodone.url WindUpdates Browser Plug-in more information... Status: Deleted Infected files detected C:\!KillBox\ide21201.vxd ATDMT.com Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\christoph\cookies\christoph@atdmt[2].txt Kann es nicht einfach ein Tool geben womit man den File (Virus) C:\WINDOWS\SYSTEM32\WININET.DLL vernichten kann! Verzweifel... Unter DOS geht das auch nciht oder?? MFG |
|
|
||
11.01.2006, 16:47
Ehrenmitglied
Beiträge: 29434 |
#10
wininet.dll darf man nicht loeschen...wenn du das tust, darfst du formatieren....gibt es denn noch Probs mit der dll ????
und das smitrem-Tool hat diese wininet.dlldll fuer clean befunden ------------------------------------------------------------------------ Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken ------------------------------------------------------------------------------ kopiere hier den scanreport http://virus-protect.org/artikel/tools/ADSSpy.exe ------------------------------------------------------------------------------ Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Systemdrive%\wininet.dll /a h /s > files.txt- Speichern als: wininet.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ------------------------------------------------------------------------ Info: Winhound http://virus-protect.org/artikel/spyware/winhound.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.01.2006, 01:01
Member
Themenstarter Beiträge: 13 |
#11
Hi. Ja das Problem besteht darin das wenn ich beispielsweise Arbeitsplatz oder I-Net Explorer öffne mein Antivir die Datei mit dem Virus anzeigt.
Bei ADSSpy bekomm ich nichts angezeigt von wegen Scanreport. Hier der Report von der bat.Datei: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CCF-DEA0 Verzeichnis von C:\WINDOWS\system32 23.08.2004 17:15 590.336 wininet.dll 1 Datei(en) 590.336 Bytes Verzeichnis von C:\WINDOWS\system32\dllcache 23.08.2004 17:15 590.336 WININET.DLL 1 Datei(en) 590.336 Bytes Ich glaube sogar das ich den Virus schon länger drauf hab. Glaub das Antivir den erst seit dem letzten Update gefunden hat! Was stellt den der eig. an?? Ist ja ne ziemliche arbeiten mit dem shice Dingen^^ MFG |
|
|
||
12.01.2006, 01:11
Ehrenmitglied
Beiträge: 29434 |
#12
die wininet.dll ist in Ordnung, was meint denn dein Virenscanner?
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.01.2006, 19:06
Member
Themenstarter Beiträge: 13 |
#13
Hi.
Also wie gesagt, mein Antivir und auch andere Scanner halten die wininet.dll immernoch für den Virus W32/Nsag.B. Quasi bei jedem Icon das ich anklicke, quitscht mein PC und es öffnet sich ein Fenster von Antivir mit der Warnung. Auch beim Starten von Windows hab ich direkt mal 4 Warnungen. Schon komisch, falls du recht hast und die dll wirklich clean ist. Ich schick dir mal mein Virusreport von Antivir. Hab den Test aber nach dem Fund abgebrochen. Creation date of the report file: Donnerstag, 12. Januar 2006 18:52 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1114 of 04.11.2005 Mainprogram 6.32.00.51 of 03.11.2005 VDF file 6.33.0.104 (-1) of 09.01.2006 This program is for PERSONAL USE only. Any other use is PROHIBITED. Informations regarding commercial versions of AntiVir may be obtained from: www.hbedv.com. Scanning for 278665 virus strains and unwanted programs. Licensed for: AntiVir Personal Edition Seri*hier nicht!* number: 0000149991-WURGE-0001 Please enter the workstation and contact name with phone number in this form: Name ___________________________________________ Street ___________________________________________ Town ___________________________________________ Phone/Fax ___________________________________________ Email ___________________________________________ Platform: Windows NT Workstation Windows version: 5.1 Build 2600 () Username: Christoph Computername: CHR1S Processor: Pentium Working memory: 1047280 KB free Version information: AVWIN.DLL : 6.32.00.51 561192 04.11.2005 12:58:52 AVEWIN32.DLL : 6.33.0.75 1008128 09.01.2006 21:30:22 AVGNT.EXE : 6.32.00.02 180327 04.11.2005 12:58:52 AVGUARD.EXE : 6.32.00.12 208424 04.11.2005 12:58:52 GUARDMSG.DLL : 6.30.00.02 94248 16.03.2005 10:18:06 AVGCMSG.DLL : 6.32.00.01 295029 04.11.2005 12:58:52 AVGNTDW.SYS : 6.31.00.01 32896 04.11.2005 12:58:52 AVPACK32.DLL : 6.32.00.02 319528 04.11.2005 12:58:52 AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:18:06 AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:18:06 AVSched32.EXE : 6.32.00.01 110632 04.11.2005 12:58:52 AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:18:06 AVREG.DLL : 6.31.00.05 41000 04.11.2005 12:58:52 AVRep.DLL : 6.33.00.103 1617960 09.01.2006 21:30:30 INETUPD.EXE : 6.32.00.53 262203 04.11.2005 12:58:52 INETUPD.DLL : 6.32.00.53 143360 04.11.2005 12:58:52 CTL3D32.DLL : 2.31.000 27136 18.08.2001 13:00:00 MFC42.DLL : 6.00.8665.0 995383 18.08.2001 13:00:00 MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148 MSVCRT.DLL : 7.0.2600.0 (xp 322560 18.08.2001 13:00:00 CTL3DV2.DLL : No information Configuration file: Name of configuration file: F:\Programme\AVPersonal\AVWIN.INI Name of report file: F:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Start path: F:\Programme\AVPersonal Command line: Start mode: unknown Mode of report file: [ ] Do not create report [X] Overwrite report [ ] Append new report Data in report file: [X] Infected files [ ] Infected files with paths [ ] All scanned files [ ] Full information Abridge report file: [ ] Abridge report file Warnings in report: [X] Access denied/file locked [X] Wrong file size in directory [X] Wrong creation time in directory [ ] COM file is too large [X] Invalid start address [X] Invalid EXE header [X] Possibly damaged Summary report: [X] Create summary report Output file: AVWIN.ACT Maximum number of entries: 100 Where to search: [X] Memory [X] Boot record of selected drives [ ] Report unknown boot sectors [ ] All files [X] Program files Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Response in case of a detection: [X] Repair with prompt [ ] Repair without prompt [ ] Delete with prompt [ ] Delete without prompt [ ] Write in report file only [X] Acoustic alarm Response in case of destroyed files: [X] Delete with prompt [ ] Delete without prompt [ ] Ignore Response in case of destroyed files: [X] No change [ ] Current system time [ ] Correct date Drag&drop settings: [X] Scan subdirectories Profile settings: [X] Scan subdirectories Archive options [X] Search archive [X] All archive types Miscellaneous options: Temporary path: %TEMP% -> C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp [X] Overwrite infected files [ ] Detect idle time [X] Allow interruptions of scan [X] Load AVWin®/NT Guard on System start General settings: [X] Save options on exiting AntiVir Priority: medium Drives: A: Floppy drive C: Hard disk D: CD-ROM E: CD-ROM F: Hard disk G: Hard disk I: CD-ROM Start of scan: Donnerstag, 12. Januar 2006 18:52 Memory test OK Master boot record of hard disk HD0 OK Boot record of drive C: OK Access denied! Error during file opening! Error code: 0x0002 C:\ WARNING! Access error/file locked! Error! Could not change directory: Chris C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp ~DFC2B7.tmp Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! Error! Could not change directory: System Volume Information C:\WINDOWS\system32 wininet.dll [DETECTION] Contains signature of the Windows virus W32/Nsag.B Could not be deleted! Scan was cancelled by user! End of scan: Donnerstag, 12. Januar 2006 18:58 Time taken: 06:15 min 1886 directories were scanned 63737 files were scanned 3 warning messages were issued 0 files were deleted 0 files were repaired 1 detection Hab jetzt mal angegeben das mir Antivir nicht mehr anzeigen soll wenn es die Datei für Infiziert befindet. Nervt nämlich ziemlich Hast du noch einen Tipp?? P.S. Glückwunsch zum 10000 Beitrag ^^ MFG |
|
|
||
13.01.2006, 01:03
Ehrenmitglied
Beiträge: 29434 |
#14
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
scanne noch mal mit Antivirus und berichte danach aktiviere die systemwiederherstellug wieder __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2006, 15:53
Member
Themenstarter Beiträge: 13 |
#15
Creation date of the report file: Freitag, 13. Januar 2006 15:38
AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1114 of 04.11.2005 Mainprogram 6.32.00.51 of 03.11.2005 VDF file 6.33.0.118 (0) of 12.01.2006 This program is for PERSONAL USE only. Any other use is PROHIBITED. Informations regarding commercial versions of AntiVir may be obtained from: www.hbedv.com. Scanning for 279824 virus strains and unwanted programs. Licensed for: AntiVir Personal Edition Seri*hier nicht!* number: 0000149991-WURGE-0001 Please enter the workstation and contact name with phone number in this form: Name ___________________________________________ Street ___________________________________________ Town ___________________________________________ Phone/Fax ___________________________________________ Email ___________________________________________ Platform: Windows NT Workstation Windows version: 5.1 Build 2600 () Username: Christoph Computername: CHR1S Processor: Pentium Working memory: 1047280 KB free Version information: AVWIN.DLL : 6.32.00.51 561192 04.11.2005 12:58:52 AVEWIN32.DLL : 6.33.0.77 1008128 12.01.2006 19:39:10 AVGNT.EXE : 6.32.00.02 180327 04.11.2005 12:58:52 AVGUARD.EXE : 6.32.00.12 208424 04.11.2005 12:58:52 GUARDMSG.DLL : 6.30.00.02 94248 16.03.2005 10:18:06 AVGCMSG.DLL : 6.32.00.01 295029 04.11.2005 12:58:52 AVGNTDW.SYS : 6.31.00.01 32896 04.11.2005 12:58:52 AVPACK32.DLL : 6.32.00.02 319528 04.11.2005 12:58:52 AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:18:06 AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:18:06 AVSched32.EXE : 6.32.00.01 110632 04.11.2005 12:58:52 AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:18:06 AVREG.DLL : 6.31.00.05 41000 04.11.2005 12:58:52 AVRep.DLL : 6.33.00.110 1626152 12.01.2006 19:39:14 INETUPD.EXE : 6.32.00.53 262203 04.11.2005 12:58:52 INETUPD.DLL : 6.32.00.53 143360 04.11.2005 12:58:52 CTL3D32.DLL : 2.31.000 27136 18.08.2001 13:00:00 MFC42.DLL : 6.00.8665.0 995383 18.08.2001 13:00:00 MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148 MSVCRT.DLL : 7.0.2600.0 (xp 322560 18.08.2001 13:00:00 CTL3DV2.DLL : No information Configuration file: Name of configuration file: F:\Programme\AVPersonal\AVWIN.INI Name of report file: F:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Start path: F:\Programme\AVPersonal Command line: Start mode: unknown Mode of report file: [ ] Do not create report [X] Overwrite report [ ] Append new report Data in report file: [X] Infected files [ ] Infected files with paths [ ] All scanned files [ ] Full information Abridge report file: [ ] Abridge report file Warnings in report: [X] Access denied/file locked [X] Wrong file size in directory [X] Wrong creation time in directory [ ] COM file is too large [X] Invalid start address [X] Invalid EXE header [X] Possibly damaged Summary report: [X] Create summary report Output file: AVWIN.ACT Maximum number of entries: 100 Where to search: [X] Memory [X] Boot record of selected drives [ ] Report unknown boot sectors [ ] All files [X] Program files Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Response in case of a detection: [X] Repair with prompt [ ] Repair without prompt [ ] Delete with prompt [ ] Delete without prompt [ ] Write in report file only [ ] Acoustic alarm Response in case of destroyed files: [X] Delete with prompt [ ] Delete without prompt [ ] Ignore Response in case of destroyed files: [X] No change [ ] Current system time [ ] Correct date Drag&drop settings: [X] Scan subdirectories Profile settings: [X] Scan subdirectories Archive options [X] Search archive [X] All archive types Miscellaneous options: Temporary path: %TEMP% -> C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp [X] Overwrite infected files [ ] Detect idle time [X] Allow interruptions of scan [X] Load AVWin®/NT Guard on System start General settings: [X] Save options on exiting AntiVir Priority: medium Drives: A: Floppy drive C: Hard disk D: CD-ROM E: CD-ROM F: Hard disk G: Hard disk I: CD-ROM Start of scan: Freitag, 13. Januar 2006 15:38 Memory test OK Master boot record of hard disk HD0 OK Boot record of drive C: OK Access denied! Error during file opening! Error code: 0x0002 C:\ WARNING! Access error/file locked! C:\!KillBox atlrw.exe [DETECTION] Is the Trojan horse TR/Agent.bi.111 WAS DELETED! d3tb32.exe [DETECTION] Is the Trojan horse TR/Agent.bi.111 WAS DELETED! iewz32.exe [DETECTION] Is the Trojan horse TR/Agent.bi.111 WAS DELETED! Error! Could not change directory: Chris C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp ~DFCAB6.tmp Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! ~DFE264.tmp Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! ~DFE282.tmp Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! ~DFE2A0.tmp Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! ~DFE2BE.tmp Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! Error! Could not change directory: System Volume Information C:\WINDOWS\system32 wininet.dll [DETECTION] Contains signature of the Windows virus W32/Nsag.B Could not be deleted! C:\WINDOWS\system32\config default Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! SAM Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! SECURITY Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! software Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! system Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! C:\WINDOWS\system32\drivers atapi.sys Access denied! Error during file opening! Error code: 0x000D WARNING! Access error/file locked! End of scan: Freitag, 13. Januar 2006 15:45 Time taken: 06:40 min 2053 directories were scanned 68012 files were scanned 13 warning messages were issued 3 files were deleted 0 files were repaired 4 detections Noch immer! Komisch das Trojan horse TR/Agent.bi.111 aufeinmal drauf war!!! MFG |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 22:47:09, on 09.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
F:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe
F:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\VIA\RAID\raid_tool.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Programme\mIRC\mirc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
F:\Programme\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbtbq.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] "F:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [A0.tmp] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [A0.tmp.exe] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\A0.tmp.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Steam] "g:\games\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)