Tr\Swizzor.A. so eine verdammte sche...

#136 o.k.

die ersten 3 schritte wie beschrieben, habe ich gemacht. jetzt die logs:


1.Log --> Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist PROGRAMS
Volumeseriennummer: 0045-4A22

Verzeichnis von C:\WINDOWS\system32

03.01.2007 15:00 10.235 QuickTime.qtp <--man beachte das Datum
08.05.2006 13:41 5.004 stdole3.tlb
08.05.2006 11:19 41.120 vsconfig.xml
07.05.2006 19:00 5.632 simpole.tlb
07.05.2006 19:00 24.077 ld9B27.tmp
07.05.2006 19:00 25.088 hp9AD9.tmp
07.05.2006 13:12 4.286 ot.ico
07.05.2006 11:23 25.088 hp1F51.tmp
07.05.2006 10:58 25.088 hp3CD6.tmp
07.05.2006 10:56 25.088 hp5EC.tmp
07.05.2006 10:43 25.088 hp2565.tmp
07.05.2006 01:47 25.088 hp3023.tmp
07.05.2006 01:36 176.128 autodisc32.dll
01.05.2006 11:49 2.184 wpa.dbl
15.04.2006 20:30 311.604 perfh009.dat
15.04.2006 20:30 39.992 perfc009.dat
15.04.2006 20:30 316.594 perfh007.dat
15.04.2006 20:30 48.156 perfc007.dat
15.04.2006 20:29 723.744 PerfStringBackup.INI
06.04.2006 12:48 5.143.456 MRT.exe
29.03.2006 09:54 4.212 zllictbl.dat
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
14.02.2006 09:20 550.120 LegitCheckControl.DLL
29.06.2005 17:13 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt
19.05.2005 11:27 1.808 ModemLog_ISDN Custom Config.txt
06.05.2005 16:05 21.961 nvapps.xml
05.04.2005 18:50 164.320 FNTCACHE.DAT
01.04.2005 16:16 14.435 nvdisp.nvu
01.04.2005 16:16 147.456 nvcolor.exe
01.04.2005 16:16 32.256 nvcodins.dll
01.04.2005 16:16 1.019.904 nvwimg.dll
01.04.2005 16:16 540.672 nvhwvid.dll
01.04.2005 16:16 176.128 nvudisp.exe
01.04.2005 16:16 1.339.392 nvdspsch.exe
18.03.2005 14:37 20 date.dat
18.03.2005 14:26 5.555 menu.txt
12.01.2005 19:49 3.776 qtplugin.log
10.01.2005 02:29 1.385.744 msvbvm60.dll
03.01.2005 19:33 8.248 KGyGaAvL.sys
02.01.2005 14:15 0 dktibs.exe
02.01.2005 13:56 16.832 amcompat.tlb
02.01.2005 13:56 23.392 nscompat.tlb
02.01.2005 13:40 176.167 rmoc3260.dll
02.01.2005 13:39 5.632 pndx5032.dll
02.01.2005 13:39 6.656 pndx5016.dll
02.01.2005 13:39 278.528 pncrt.dll
02.01.2005 13:22 427 QuickTimeFavorites.qtr



2.Log --> Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist PROGRAMS
Volumeseriennummer: 0045-4A22

Verzeichnis von C:\DOKUME~1\rider\LOKALE~1\Temp

08.05.2006 13:40 32.768 ~DFB6D8.tmp
08.05.2006 13:40 222 jusched.log
08.05.2006 11:44 2.050.151 177DFA.dmp
08.05.2006 11:40 1.934.633 142559.dmp
08.05.2006 11:37 16.384 ~DF1DB3.tmp
08.05.2006 11:20 32.768 ~DFA76A.tmp
6 Datei(en) 4.066.926 Bytes
0 Verzeichnis(se), 11.981.632.512 Bytes frei



3.Log --> Verzeichnis von C:\WINDOWS

Datentr„ger in Laufwerk C: ist PROGRAMS
Volumeseriennummer: 0045-4A22

Verzeichnis von C:\WINDOWS

08.05.2006 11:19 0 0.log
08.05.2006 11:19 2.048 bootstat.dat
08.05.2006 11:17 32.550 SchedLgU.Txt
08.05.2006 09:54 54.156 QTFont.qfn
07.05.2006 23:01 611.004 ntbtlog.txt
07.05.2006 22:32 209 WINCMD.INI
07.05.2006 22:22 24.276 Windows Update.log
07.05.2006 22:22 5.244.358 setupapi.log
07.05.2006 01:37 95 winamp.ini
04.05.2006 10:54 32 HCWBTDLG.INI
04.05.2006 10:53 518 HCWPNP.INI
23.04.2006 20:55 72.713 wmsetup.log
10.04.2006 23:48 170 cdplayer.ini
10.04.2006 21:33 3.292 tm.ini
10.04.2006 21:30 118 tdf.dii
10.04.2006 17:31 19.972 comsetup.log
10.04.2006 17:31 2.609 iis6.log
10.04.2006 17:31 10.331 ntdtcsetup.log
10.04.2006 17:31 13.011 tsoc.log
10.04.2006 17:31 5.999 KB829558.log
10.04.2006 17:31 1.374 imsins.log
10.04.2006 17:29 1.489 ocmsn.log
10.04.2006 17:29 1.427 msgsocm.log
10.04.2006 17:29 17.777 ocgen.log
10.04.2006 17:29 23.905 FaxSetup.log
10.04.2006 17:28 1.184 avmcoins.log
10.04.2006 17:19 64.151 dasetup.log
10.04.2006 17:19 4.161 ODBCINST.INI
10.04.2006 17:16 480 ODBC.INI
20.03.2006 20:15 216 wiadebug.log
20.03.2006 20:11 50 wiaservc.log
18.02.2006 20:12 1.409 QTFont.for
14.01.2006 20:18 49 NeroDigital.ini
05.01.2006 12:13 4.712 mozver.dat
05.01.2006 12:11 107.132 UninstallFirefox.exe




4.Log--> Verzeichnis von C:\


Verzeichnis von C:\

08.05.2006 14:13 0 sys.txt
08.05.2006 14:10 7.373 system.txt
08.05.2006 13:57 530 systemtemp.txt
08.05.2006 13:46 95.408 system32.txt
08.05.2006 11:19 402.653.184 pagefile.sys
07.10.2004 12:48 2 x.cab
24.09.2004 22:40 0 AUTOEXEC.BAT
24.09.2004 22:40 0 CONFIG.SYS
24.09.2004 22:40 0 MSDOS.SYS
24.09.2004 22:40 0 IO.SYS
24.09.2004 22:34 194 boot.ini
20.09.2004 19:33 82 x.bat
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 224.032 ntldr
18.08.2001 13:00 45.124 NTDETECT.COM
15 Datei(en) 403.030.881 Bytes
0 Verzeichnis(se), 11.981.622.272 Bytes frei

#137 panta rhei

entpacke auf dem Desktop

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

Sophos
aktuellste Virendefinitionsdateien
1.) IDEs für SAV Version Mai 2006 ... Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/
2.) http://www.sophos.de/tools/sav32sfx.exe

-----------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\x.bat
C:\x.cab
C:\WINDOWS\system32\QuickTime.qtp
C:\WINDOWS\system32\date.dat
C:\WINDOWS\system32\dktibs.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\autodisc32.dll
C:\Dokumente und Einstellungen\rider\Lokale Einstellungen\Temp\a.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Wenn dein System wieder aufgestartet ist, wird sich ein Logfile des Avenger öffnen. -> poste es hier

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp9AD9.tmp
O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\Run: [Autoupdate Service] C:\DOKUME~1\rider\LOKALE~1\Temp\a.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)

**
öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde.

**
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

**
Sophos
gehe in C:\
klicke SAV32CLI --> scannen lassen

----------------------------------------------------------------------------

**
boote wieder in den Normalmodus

**
deaktiviere die Systemwiederherstellung (XP) (nach der Reinigung wieder aktivieren)

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Reinigung wieder aktivieren )

**
scanne ud bevor du die Quarantaene loeschst, poste den Report
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#138 o.k. danke, mach ich alles, kann ich mit meinem pc während der ganzen aktionen am netz bleiben? -ist deutlich einfacher für mich, das alles durchzuführen.

#139 drucke es aus..und wenn du im abges.Modus bist..hast du kein Internet
__________
MfG Sabina

rund um die PC-Sicherheit

#140 hi liebe sabina,

bis zur durchführung des avenger alles nach deinen angaben gemacht. ein logfile des avenger hat sich aber nach dem neustart nicht automatisch geöffnet. (vielleicht hängt das ja mit dem programm spybot zusammen - das hat sich nämlich während der aktion mal beschwert?)

weiter:

das blöde logo mit dem rollstuhlfahrer ist jetzt weg!

deinen folgenden befehl:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

verstehe ich nicht ganz. heisst das, alle kästchen die in dem fenster angezeigt werden, soll ich anhaken? und dann den fix checked button drücken? ODER: nur die kästchen, die du unter Zitate gepostet hast???

#141 panta rhei

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

nur vor diese Eintraege!!!!!!!!!!

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp9AD9.tmp
O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\Run: [Autoupdate Service] C:\DOKUME~1\rider\LOKALE~1\Temp\a.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

--> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)
__________
MfG Sabina

rund um die PC-Sicherheit

#142 liebe sabina,

ich glaube, ich bin kurz vor ende dieses marathons. hier noch einmal das logfile
von superantispyware. was mach ich mit diesen dateien??

SUPERAntiSpyware Scan Log
Generated 05/08/2006 at 06:41 PM

Core Rules Database Version : 2918
Trace Rules Database Version: 1045

Memory Thread detected : 0
Registry Thread detected : 4
File Thread detected : 5

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\rider\Cookies\rider@as-eu.falkag[2].txt
C:\Dokumente und Einstellungen\rider\Cookies\rider@mediaplex[1].txt
C:\Dokumente und Einstellungen\rider\Cookies\rider@sel.as-eu.falkag[2].txt

Trojan.Security Toolbar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Security Toolbar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Security Toolbar#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Security Toolbar#UninstallString
C:\WINDOWS\Favoriten\Antivirus Test Online.url

Trojan.DCOMCfg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run#dcomcfg.exe [ dcomcfg.exe ]

Trojan.SpyFalcon
C:\Avenger\autodisc32.dll

#143 So habe alles gemacht was du mir gesagt hattest Sabina.
Das ist nun der Text den ich bekommen habe:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E034-D2F9

Verzeichnis von C:\WINDOWS\tasks

04.05.2006 16:50 <DIR> .
04.05.2006 16:50 <DIR> ..
08.05.2006 15:00 258 B5B064AE9240158A.job
18.08.2001 14:00 65 desktop.ini
08.05.2006 15:34 6 SA.DAT
3 Datei(en) 329 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\J”rg\Desktop

#144 panta rhei

1.
loesche alles, was du in der Quarantaene von SUPERAntiSpyware findest.

2.
scanne mit Panda und Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

danach moechte ich gern, dass du die WindowsUpdates machst...denn ein zweites Mal helfe ich nicht, falls ich sehe, dass der Rechner immer noch ungepatcht ist..und damit vulneravel..und du ..Dauergast hier. ;(
__________
MfG Sabina

rund um die PC-Sicherheit

#145 Noir

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h B5B064AE9240158A.job
del B5B064AE9240158A.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

wenn dann laut HijackThis alle Eintraege, die du fixen solltest, wirklich weg sind, und keine PopUps mehr kommen, der Panda.-Scan nichts mehr anzeigt (ausser Cookies...die sind nicht so wichtig)
-> ist alles wieder o.k.
__________
MfG Sabina

rund um die PC-Sicherheit

#146 hallo sabina

du schriebst:
scanne mit Panda und Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

dieser link funktioniert leider nicht. und mein IE hängt sich jedesmal auf.

#147 panta rhei

lade ewido, scanne einmal im Normalmodus..poste den scanreport
http://virus-protect.org/ewido.html

dann boote in den abgesicherten Modus und scanne noch mal.
__________
MfG Sabina

rund um die PC-Sicherheit

#148 also, ich hab diesen mist auch. kann mir bitte jemand helfen wie ich das ding ohne viel tam tam entferne ? bin nicht so gut bei solchen sachen/pc

thx

#149 mcausevic

Zitat

ohne viel tam tam entferne

nee... ohne viel tamtam geht es nicht...es sei, du formatierst.

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#150 hier sind sie

Logfile of HijackThis v1.99.1
Scan saved at 15:39:13, on 09.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\ISW\alice\signup\ConnctAs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Nancy\Eigene Dateien\G-Scriptv29\mircG29.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Nancy\LOKALE~1\Temp\Rar$EX01.203\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3F45B402-1310-C4D1-FF11-27559CF831A9} - C:\DOKUME~1\Nancy\ANWEND~1\INSIDE~1\ENC 64.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Amok Beep Deaf Inter] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Exit Else Amok Beep\Boobbarb.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [heart ante] C:\DOKUME~1\Nancy\ANWEND~1\NURBPL~1\ACTIVE SAFE TIME.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{231A498A-30C9-4B1C-97CA-E25E38B7485E}: NameServer = 213.191.92.84 213.191.74.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{D70C01C2-79F3-4C38-9BD3-80C1C6142BF2}: NameServer = 0.0.0.0
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe