Wie lösche ich einen Worm/RBOT.174080?? |
||
---|---|---|
#0
| ||
23.02.2006, 19:46
...neu hier
Beiträge: 2 |
||
|
||
24.02.2006, 16:13
Ehrenmitglied
Beiträge: 29434 |
#2
Ketti23
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Worm/VB.DW - Worm/RBot.174080 http://virus-protect.org/artikel/spyware/outlook.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.02.2006, 13:23
...neu hier
Beiträge: 5 |
#3
hallo,
habe mir auch diesen worm eingefangen. ist ja ein ganz schöner act das ding zu entfernen. ich hab den cleanup nach anweisung ablaufen lassen. den hijacklog poste ich anschliessend. soll ich die 4 log-dateien (datfindbat) auch hier posten? so ganz blick ich da nicht durch. soll ich nun meine 4 log-dateien durch die auf der website ersetzen? hier erst mal das hijacklog: Logfile of HijackThis v1.99.1 Scan saved at 11:34:24, on 25.02.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\WZCBDL Service\WZCBDLS.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe F:\Programme\iTunes\iTunesHelper.exe F:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\outlook\outlook.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Jochen\Desktop\TROJANER\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128941823409 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128941809129 O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{51B8E2CA-0C72-4A13-8519-29DBE3A31880}: NameServer = 192.168.2.1,192.168.2.218 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe --------------------------------------- ...ich glaub ich habs geschnallt. das was die datfind.bat anzeigt wenn sie ausgeführt wir bis 3 monate kopieren und die dateíen auf meiner kiste damit ersetzen. richtig? ich warte besser auf eine bestätigung, bevor ich mir was zerschiesse ;o) ich hasse viren......... danke im voraus und gruß, smiler Dieser Beitrag wurde am 26.02.2006 um 13:30 Uhr von smiler editiert.
|
|
|
||
26.02.2006, 13:39
Ehrenmitglied
Beiträge: 29434 |
#4
smiler
du musst die 4 Textdateien von datfind hier kopieren...es zeigt saemtliche Dateien, die sich auf deinem PC befinden- ich suche dann die Viren raus und sage, was zu loeschen ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.02.2006, 13:43
...neu hier
Beiträge: 5 |
#5
ok, danke schonmal.
hier die textfiles. muß ich das für jedes profil auf dem rechner machen? Datentr„ger in Laufwerk C: ist WIN_XP Volumeseriennummer: D0FF-0EF3 Verzeichnis von C:\WINDOWS\system32 25.02.2006 11:33 35.875 vsconfig.xml 25.02.2006 11:32 2.184 wpa.dbl 23.02.2006 21:03 0 cmd.com 23.02.2006 21:03 0 taskkill.com 23.02.2006 21:03 0 regedit.com 23.02.2006 21:03 0 tasklist.com 23.02.2006 21:03 0 tracert.com 23.02.2006 21:03 0 ping.com 23.02.2006 21:03 0 netstat.com 18.01.2006 13:05 57.344 avsda.dll 22.12.2005 00:28 311.604 perfh009.dat 22.12.2005 00:28 39.992 perfc009.dat 22.12.2005 00:28 316.594 perfh007.dat 22.12.2005 00:28 48.156 perfc007.dat 22.12.2005 00:28 723.744 PerfStringBackup.INI 23.11.2005 11:10 4.212 zllictbl.dat 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407 ----------------------------------------------------- Datentr„ger in Laufwerk C: ist WIN_XP Volumeseriennummer: D0FF-0EF3 Verzeichnis von C:\DOKUME~1\Jochen\LOKALE~1\Temp 25.02.2006 11:54 16.384 ~DFF269.tmp 25.02.2006 11:32 16.384 ~DFCFB9.tmp 25.02.2006 11:32 412 jusched.log 3 Datei(en) 33.180 Bytes 0 Verzeichnis(se), 3.139.883.008 Bytes frei ---------------------------------------------------------- Datentr„ger in Laufwerk C: ist WIN_XP Volumeseriennummer: D0FF-0EF3 Verzeichnis von C:\WINDOWS 25.02.2006 20:53 108.454 ntbtlog.txt 25.02.2006 11:52 0 ip2.INI 25.02.2006 11:32 844.693 WindowsUpdate.log 25.02.2006 11:32 159 wiadebug.log 25.02.2006 11:32 50 wiaservc.log 25.02.2006 11:32 0 0.log 25.02.2006 11:32 2.048 bootstat.dat 23.02.2006 22:32 180.448 setupact.log 23.02.2006 20:49 106.526 wmsetup.log 21.02.2006 01:24 54.156 QTFont.qfn 12.02.2006 16:37 976.317 setupapi.log 05.02.2006 11:54 1.409 QTFont.for 19.01.2006 00:58 499 GEARInstall.log 23.12.2005 10:12 0 distlib.ini 22.12.2005 00:27 0 MG.INI 08.12.2005 03:21 34 cdplayer.ini 30.11.2005 22:24 607 nsw.log 26.10.2005 10:50 22 Kyor.ini 26.10.2005 10:50 945 win.ini 21.10.2005 09:36 445 wmsetup10.log 19.10.2005 16:32 112 ZAUBHAUS.INI 11.10.2005 13:36 75.808 DirectX.log 11.10.2005 08:53 36.012 svcpack.log 10.10.2005 13:06 28.845 xpsp1hfm.log 10.10.2005 13:06 172.786 iis6.log 10.10.2005 13:06 27.741 ntdtcsetup.log 10.10.2005 13:06 48.311 comsetup.log 10.10.2005 13:06 1.393 imsins.log 10.10.2005 13:06 56.889 tsoc.log 10.10.2005 13:06 36.456 KB828741.log 10.10.2005 13:06 4.584 ocmsn.log 10.10.2005 13:06 55.068 ocgen.log 10.10.2005 13:06 5.854 msgsocm.log 10.10.2005 13:06 111.068 FaxSetup.log 10.10.2005 13:05 40.114 msmqinst.log 10.10.2005 13:05 1.393 imsins.BAK 10.10.2005 13:05 30.755 KB835732.log 10.10.2005 13:04 22.470 Q329834.log 10.10.2005 13:04 25.866 KB823559.log 10.10.2005 13:03 22.087 Q329048.log 10.10.2005 13:03 20.683 KB834707-IE6-20040929.115007.log 10.10.2005 13:03 17.819 Q810577.log 10.10.2005 13:02 14.682 Q810833.log 10.10.2005 13:01 11.093 Q811630.log 10.10.2005 13:01 9.319 Q329441.log 10.10.2005 13:00 9.030 Q817606.log 10.10.2005 12:59 6.017 Q329170.log 10.10.2005 12:58 2.188 Q329115.log 10.10.2005 12:58 1.609 Q329390.log 10.10.2005 12:58 960 Q323255.log 10.10.2005 12:02 17.218 KB842773.log ----------------------------------------------- Datentr„ger in Laufwerk C: ist WIN_XP Volumeseriennummer: D0FF-0EF3 Verzeichnis von C:\ 25.02.2006 12:11 0 sys.txt 25.02.2006 12:10 6.457 system.txt 25.02.2006 12:10 384 systemtemp.txt 25.02.2006 12:09 94.898 system32.txt 25.02.2006 11:32 175.104 onoes.exe 25.02.2006 11:32 805.306.368 pagefile.sys 14.03.2005 10:52 194 boot.ini 03.02.2005 01:10 0 AUTOEXEC.BAT 03.02.2005 01:10 0 IO.SYS 03.02.2005 01:10 0 MSDOS.SYS 03.02.2005 01:10 0 CONFIG.SYS 18.08.2001 13:00 4.952 bootfont.bin 18.08.2001 13:00 224.032 ntldr 18.08.2001 13:00 45.124 NTDETECT.COM 14 Datei(en) 805.857.513 Bytes 0 Verzeichnis(se), 3.139.883.008 Bytes frei |
|
|
||
26.02.2006, 14:39
Ehrenmitglied
Beiträge: 29434 |
#6
smiler
http://virus-protect.org/hjtkurz.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto ---------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: .... C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\netstat.com C:\onoes.exe PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell arbeite die bfu + den ewido scanner ab http://virus-protect.org/artikel/bfu/p2pbfuhtml.html Info: http://virus-protect.org/artikel/spyware/outlook.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.02.2006, 15:37
...neu hier
Beiträge: 5 |
#7
mann o mann,
das iss ja starker tobak....... vielen dank für die zeit, die du für mich aufwendest, sabina. respect. proffesionelle hilfe und das sonntags. wie kann ich das wieder gutmachen? momentan läuft gerade ewido, schon 29 inf. dateien gefunden und grad mal 50% durch. vielleicht kann ich dir auch mal einen stein in den vorgarten werfen ;o) solltest du mal probleme mit auto o. motorrad haben sag bescheid. nochmals vielen, vielen dank, jochen |
|
|
||
11.03.2006, 10:33
...neu hier
Beiträge: 2 |
#8
Hi Leute ich habe mir den Worm/Rbot. are eingefangen und kann ihn nicht löschen egal was ich mache er kommt wieder. Kann mir jemand helfen?
mfg macciatonixe |
|
|
||
11.03.2006, 15:41
Ehrenmitglied
Beiträge: 29434 |
#9
macciatonixe
1, Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 2, stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3, Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.03.2006, 15:57
...neu hier
Beiträge: 2 |
#10
Logfile of HijackThis v1.99.1
Scan saved at 15:56:55, on 12.03.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\WINDOWS\System32\svho0st98.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\dwwin.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [internet service] svho0st98.exe O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe O4 - HKLM\..\RunServices: [internet service] svho0st98.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O16 - DPF: {0E79192A-C52C-4260-920F-639AC2296203} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1048_EN_XP.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1039367970881 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141469441503 O16 - DPF: {71CBDCD9-0830-4470-A890-35D364DA352C} - http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1047_EN_XP.cab O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1072_XP.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4069DA55-BFC1-4542-9DCC-EB72597AA5A5}: NameServer = 217.237.148.49 217.237.148.65 O17 - HKLM\System\CCS\Services\Tcpip\..\{529E5118-2F29-453C-8F3A-4FC997694EF9}: NameServer = 85.255.116.172,85.255.112.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{8C3DE034-D944-4E37-94E2-27412C15A41F}: NameServer = 85.255.116.172,85.255.112.225 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
12.03.2006, 16:13
Ehrenmitglied
Beiträge: 29434 |
#11
macciatonixe
diesen PC zu reinigen , macht keinen Sinn denn er ist voellig verseucht und dazu voellig ungepatcht (keine WindowsUpdates) Und solche System reinige ich normalerweise nicht. Formatiere und komme wieder mit dem HijackThis-Log und SP2 (WindowsUpdates) http://virus-protect.org/nachneuinst.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.03.2006, 18:25
...neu hier
Beiträge: 3 |
#12
hallo,
habe mir gestern den gleichen wurm eingefangen und brauche hilfe. habe die von sabina angegebenen schritte durchgeführt und hier nun das was rausgekommen ist: Logfile of HijackThis v1.99.1 Scan saved at 17:54:59, on 25.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\BCMSMMSG.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Dell\QuickSet\quickset.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\outlook\outlook.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Dell\Bluetooth Software\BTTray.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\jp\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/ O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe Verzeichnis von C:\WINDOWS\SYSTEM32 24.03.2006 17:24 62.464 bszip.dll 24.03.2006 17:23 0 tasklist.com 24.03.2006 17:23 0 cmd.com 24.03.2006 17:23 0 regedit.com 24.03.2006 17:23 0 taskkill.com 24.03.2006 17:23 0 ping.com 24.03.2006 17:23 0 tracert.com 24.03.2006 17:23 0 netstat.com 21.03.2006 00:04 1.170 WPA.DBL 10.03.2006 01:10 4.799.320 MRT.exe 18.01.2006 13:05 57.344 AVSDA.DLL 04.01.2006 04:35 68.096 webclnt.dll 29.12.2005 03:54 280.064 gdi32.dll 11.12.2005 14:32 7.006 jupdate-1.5.0_06-b05.log 06.12.2005 06:02 5.533.696 wmp.dll 01.12.2005 04:31 1.492.480 shdocvw.dll Verzeichnis von C:\DOKUME~1\jp\LOKALE~1\Temp 25.03.2006 18:18 206 jusched.log 25.03.2006 18:08 32.768 ~DF222F.tmp 25.03.2006 18:08 16.384 ~DFF07.tmp 25.03.2006 18:08 32.768 ~DFFBF9.tmp Verzeichnis von C:\WINDOWS 25.03.2006 18:10 374.814 WindowsUpdate.log 25.03.2006 18:07 2.048 BOOTSTAT.DAT 25.03.2006 18:06 32.622 SchedLgU.Txt 12.03.2006 04:33 116 NeroDigital.ini 26.02.2006 19:32 192 Winamp.ini 09.01.2006 10:50 126 mdm.ini 09.01.2006 10:50 4.161 ODBCINST.INI 09.01.2006 10:50 660 ODBC.INI 09.01.2006 10:49 85 VBADDIN.INI 09.01.2006 10:49 1.309 VB.INI 11.11.2005 14:16 48 REGKEYCR.INI 25.03.2006 18:22 0 sys.txt 25.03.2006 18:22 4.607 system.txt 25.03.2006 18:21 435 systemtemp.txt 25.03.2006 18:20 112.047 system32.txt 25.03.2006 18:07 536.129.536 hiberfil.sys 25.03.2006 18:06 805.306.368 pagefile.sys was kann ich jetzt tun? danke schon mal für die mühe, gruß mikkkele |
|
|
||
26.03.2006, 00:09
Ehrenmitglied
Beiträge: 29434 |
#13
mikkkele
1. arbeite das bitte ab ..also: die winlog.bfu und ewido http://virus-protect.org/artikel/bfu/winlog_bfu.html 2. Sophos IDEs für SAV Version April 2006 (4.04) Aktuelle Web-Version Aktuelle CD und Web-Version Download Zip Download Exe 121 http://www.sophos.de/downloads/ide/ 2.) http://www.sophos.de/tools/sav32sfx.exe 3.) gehe in C:\ 4.) klicke SAV32CLI --> der scan beginnt ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.03.2006, 16:46
...neu hier
Beiträge: 3 |
#14
hallo,
hier der ewido report. hab den scan allerdings nicht im abgesicherten modus durchgeführt - hoffe das ist trotzdem ok. sophos hat jetzt auch den scan durchgeführt aber keinen report oder so angezeigt. es kam nur ne meldung, dass er c:\hyberlis.sys oder so nicht öffnen konnte. heisst das jetzt, dass der wurm weg ist? oder was soll ich noch machen? hab auch noch ne generelle frage: was für nen virenscanner benutzt du? bzw welchen sollte ich nutzen? hab im moment antivir, soll doch ganz gut sein, oder? sollte ich die ganze ewido prozedur usw öfter mal machen oder nur in diesem speziellen fall? danke, gruß mikkkele --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 16:38:21, 26.03.2006 + Report-Checksumme: 96D642B4 + Scanergebnis: :mozilla.15:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.16:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.18:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.19:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.20:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.21:C:\Dokumente und Einstellungen\jp\Anwendungsdaten\Mozilla\Firefox\Profiles\3tlg7l7i.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\24 24 Season 1 Complete Divx Rkl.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\24 24 Season 2 Divx.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\24 S05e09 Hdtv Www Tensiontorrent Com.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\24 S05e14 Hdtv Xvid Lol.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\24 Season 1.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\24 Season04 Complete.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Adobe Acrobat 7 0 Professional Incl keyg*hier nicht* Paradox.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Adobe Audition V2 0 English Www Pctorrent Com.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Adobe Illustrator Cs2 V12 32321 39636 20013 25991 21407 29256 20809 30879.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Adobe Photoshop Cs2 Iso keyg*hier nicht* Squiggie.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Adobe Premiere Pro 7 0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Ahead Nero V7 0 Premium Edition.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Aliasmayaunlimited7011511998 Demonoid Com.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Autocad 2006 Eng.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Autodata 2005 Multilanguage Crack Www Limitedivx Com Lmd T34m Flint.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Autodesk 3d Studio Max V8 0 Webinstall Incl Keymaker Xforce.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Azureus2 4 0 0 Jar.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup C:\Dokumente und Einstellungen\jp\Complete\Battlestar Galactica Battlestar Galactica 2003 Season1 Season2.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup usw.... Dieser Beitrag wurde am 26.03.2006 um 17:26 Uhr von mikkkele editiert.
|
|
|
||
26.03.2006, 19:26
Ehrenmitglied
Beiträge: 29434 |
#15
mikkkele
nun muesste wieder alles o.k. sein, dennoch mache einen Onlinescan mit Panda und poste den scanbericht http://virus-protect.org/onlinescan.html dann berichte bitte auch, was dein Antivirus zum Stand der Dinge meint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
mfg ketti
Logfile of HijackThis v1.99.1
Scan saved at 19:45:35, on 23.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\outlook\outlook.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan Hoffmann\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [GTV GlobalIM] C:\Programme\Blowsearch Secured Messenger\global.im.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF16D4F-4931-4FC5-9137-1371DC5C44E7}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe