Wie kann ich Trojaner TR / Swizzor A beseitigen

#46 tobiastoba

arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

zu loeschen ist:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Defaultdeadbuildcomp
C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\INSIDE...
C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\GRIMSE...

**
wende CleanUp an
http://virus-protect.org/cleanup.html
**
nach dem scan mit Counterspy stelle unbedingt alles auf *remove
ich hoffe, das Tool loescht neben dem Netpumper auch den Winfixer
http://virus-protect.org/counterspy.html

**
scanne mit Dr.Web (alles loeschen oder umbenennen lassen ! )
http://virus-protect.org/cureit.html

**
scanne mit Panda und loesche manuell alles, was noch angezeigt wird.
http://virus-protect.org/onlinescan.html


wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text i
__________
MfG Sabina

rund um die PC-Sicherheit

#47 Scripter

warum hast du den Netpumper und P2P -> Status: Ignored gesetzt ???
Scanne noch mal und loesche diesen ganzen Muell. !!!!

danach:

ºº
CleanUp
http://virus-protect.org/cleanup.html

ºº
scanne mit Dr.Web (alles löschen oder umbenennen lassen ! )
http://virus-protect.org/cureit.html

ºº
scanne mit Panda und lösche alles manuell, was noch angezeigt wird
http://virus-protect.org/onlinescan.html

ºº
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Mit Panda ActiveScan 5.52.00

Scanning... My Computer

Incident Status Location

Adware:adware/keenvalue Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temp\IncrediFindBHOLog.tmp
Adware:adware/tvmedia Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temp\tvmupdater.exe
Adware:adware/favoriteman Not disinfected C:\WINDOWS\SYSTEM32\im64.dll
Potentially unwanted tool:application/errorsafe Not disinfected C:\WINDOWS\SYSTEM32\DRIVERS\erssdd.sys
Adware:adware/localnrd Not disinfected C:\WINDOWS\INF\addremln.inf
Adware:adware/ilookup Not disinfected C:\WINDOWS\iLookup
Adware:adware/ieplugin Not disinfected Windows Registry
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@as-eu.falkag[1].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@atwola[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@sel.as-eu.falkag[2].txt
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.fastclick.net/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.casalemedia.com/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.fastclick.net/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.casalemedia.com/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.fastclick.net/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[media.fastclick.net/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[sel.as-eu.falkag.net/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.hitbox.com/]
Spyware:Cookie/Valueclick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.valueclick.com/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.atdmt.com/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.statcounter.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.advertising.com/]
Spyware:Cookie/adultfriendfinder Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.adultfriendfinder.com/]
Spyware:Cookie/Mammamediasolutions Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.targetnet.com/]
Spyware:Cookie/BurstNet Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.burstnet.com/]
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Bs.serving-sys Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.bs.serving-sys.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/go Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.go.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.2o7.net/]
Spyware:Cookie/PointRoll Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.ads.pointroll.com/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Toplist Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.toplist.cz/]
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.adtech.de/]
Spyware:Cookie/GoStats Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[.gostats.com/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\i8k944xs.Standard-Benutzer\cookies.txt[]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\vmazrxof.default\cookies.txt.old[]
Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\vmazrxof.default\cookies.txt.old[17848849]
Spyware:Cookie/Bluestreak Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Anwendungsdaten\Mozilla\Firefox\Profiles\vmazrxof.default\cookies.txt.old[]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@as-eu.falkag[1].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@atwola[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Cookies\chritoph connotte@sel.as-eu.falkag[2].txt
Spyware:Spyware/BetterInet Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temp\client.cfg
Adware:Adware/TVMedia Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temp\tvmupdater.exe
Adware:Adware/WUpd Not disinfected C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OD6N8HIZ\mp3000[1].htm
Spyware:Spyware/New.net Not disinfected C:\Programme\FileSubmit\RONALDO (CRISTIANO) Wallpaper v1\NNEZSTB3.exe
Hacktool:HackTool/EvID Not disinfected C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe
Adware:Adware/LocalNRD Not disinfected C:\WINDOWS\inf\addremln.inf
Adware:Adware/LocalNRD Not disinfected C:\WINDOWS\inf\localNrd.inf
Virus:W32/Sober.AH.worm!CME-681 Not disinfected Lokale Ordner\Gelschte Objekte\Ihr Passwort\syska-TextInfo.zip[File-packed_dataInfo.exe]
Virus:W32/Netsky.C.worm Not disinfected Lokale Ordner\Posteingang\<Mail failed>\disco.zip[disco.htm.exe]
Virus:W32/Netsky.C.worm Not disinfected Lokale Ordner\Posteingang\do you know the thief?\jokes_poster.zip[jokes_poster.htm.pif]

#49 ChRiS90

**
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\SYSTEM32\im64.dll
C:\WINDOWS\SYSTEM32\DRIVERS\erssdd.sys
C:\WINDOWS\INF\addremln.inf
C:\WINDOWS\inf\localNrd.inf

PC neustarten

**
suche...loesche:

C:\WINDOWS\iLookup
C:\WINDOWS\INF
C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OD6N8HIZ
C:\Programme\FileSubmit

C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temp\IncrediFindBHOLog.tmp
C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temp\tvmupdater.exe
C:\Dokumente und Einstellungen\Chritoph Connotte\Lokale Einstellungen\Temp\client.cfg

loesche diese Mail
Lokale Ordner\Posteingang\do you know the thief?\

**
wende noch einmal CleanUp an
http://virus-protect.org/cleanup.html

**
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab...
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hier

Datentr„ger in Laufwerk C: ist Gismo
Volumeseriennummer: F0CF-541A

Verzeichnis von C:\windows\tasks

31.03.2006 17:32 <DIR> .
31.03.2006 17:32 <DIR> ..
17.04.2006 18:00 266 AE6AE60893899DAC.job
04.08.2004 14:00 65 desktop.ini
17.04.2006 15:41 6 SA.DAT
3 Datei(en) 337 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Privat\Desktop

muss ich noch mehr machen?

#51 Habe alles abgearbeitet.
Hier das Ergebnis von findjobs.bat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 4424-2FC0

Verzeichnis von C:\WINDOWS\tasks

23.03.2006 14:28 <DIR> .
23.03.2006 14:28 <DIR> ..
17.04.2006 19:00 270 A87C5B7B9187D237.job
31.12.2002 14:00 65 desktop.ini
17.04.2006 18:13 6 SA.DAT
3 Datei(en) 341 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Hover\Desktop

#52 Hallo, ich habe heute ein Update vom Messenger Plus gemacht und seiddem habe ich auch diesen Trojaner TR/Swizzor.A, obwohl ich die Sponsorversion nicht gewählt habe. Ich hoffe Ihr könnt mir auch helfen :-(
hijackthis hat folgendes ausgeworfen:

Logfile of HijackThis v1.99.1
Scan saved at 19:53:42, on 17.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\Totalcmd\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {CCD703BA-DF0D-66DA-D874-8BF356006EE2} - C:\DOKUME~1\Mario\ANWEND~1\MAPISO~1\Magsglue.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=042306 Seri*hier nicht!*=DR12WEX-1504397-KTY lang=DE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [barbrealwaymanager] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flaglinkbarbreal\Encwarn.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [This Loud] C:\DOKUME~1\Mario\ANWEND~1\BROWSE~1\01roadnew.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129575515000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D01FBCC-5172-4BA0-9C8E-E21312031476}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Ich danke Euch schon mal im vorraus!!!
Liebe Grüsse

#53 Wenn du diesen Bericht meinst:


Spyware Scan Details
Start Date: 17.04.2006 19:32:35
End Date: 17.04.2006 20:31:00
Total Time: 58 mins 25 secs

Detected spyware

BearShare P2P Program more information...
Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Infected files detected
c:\programme\bearshare\bearshare.dat
c:\programme\bearshare\freepeers.ini
c:\programme\bearshare\db\config.bin
c:\programme\bearshare\db\gwebcache.dat
c:\programme\bearshare\db\hostiles-chat.txt
c:\programme\bearshare\db\library.2.db
c:\programme\bearshare\db\library.2.db.lastgoodload.bak
c:\programme\bearshare\db\library.db
c:\programme\bearshare\db\library.db.lastgoodload.bak
c:\programme\bearshare\db\searches.ini
c:\programme\bearshare\logs\hosts-state.txt
c:\programme\bearshare\logs\memory.txt
c:\programme\bearshare\logs\ordinal.txt
c:\programme\bearshare\logs\streams.txt

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library


AntiLeech Plugin Adware (General) more information...
Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software.
Status: Deleted

Infected files detected
c:\programme\anti-leech\alnn\al2np.dll
c:\programme\anti-leech\alnn\alhlp.exe
c:\programme\anti-leech\alnn\npalnn.dll
c:\programme\anti-leech\alnn\setup2.exe
C:\Programme\Mozilla Firefox\plugins\al2np.dll

Infected registry entries detected
HKEY_CURRENT_USER\Software\Anti-Leech\Anti-Leech Plugin
HKEY_CURRENT_USER\Software\Anti-Leech\Anti-Leech Plugin Mozilla Firefox 1.0.4 C:\Programme\Mozilla Firefox\Plugins
HKEY_CURRENT_USER\Software\Anti-Leech\Anti-Leech Plugin Mozilla Firefox 1.0.6 C:\Programme\Mozilla Firefox\Plugins
HKEY_CURRENT_USER\Software\Anti-Leech\Anti-Leech Plugin Mozilla Firefox 1.0.7 C:\Programme\Mozilla Firefox\Plugins
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN DisplayName Anti-Leech Plugin for Netscape, Mozilla, Opera
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN UninstallString C:\Programme\Anti-Leech\ALNN\setup2.exe -u


NetPumper Adware Bundler more information...
Details: Bundles with a number of adware components such as cydoor, Save!, ClockSync, and WhenU Toolbar.
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\chritoph connotte\anwendungsdaten\netpumper\chritoph_20connotte.ini

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro\Firstrun state 2
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro state 2
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro pkid Amaretto
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro alid Amaretto
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro iid {DC85CDFA-D659-42D7-A659-E88E5A56C715}
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper VersionInfo VCrjSQ98yxHflfCxJZ9zPg8cTD6XeWLVx3GHavGFrRNg-lRGcLOYxXYeOCvlbZ0lZzA9jR
-bJopN8vnSMU1HJ7
EkWDaO8G-ETAPVB8aIdekw3mUiJqMPcNUxT01ypBqvBwc7MnKagDG40ftKgHcGKayY
vfv1y6lfSQguYnMk++o
HKEY_CURRENT_USER\Software\NetPumper
HKEY_CURRENT_USER\Software\NetPumper\Chritoph Connotte Field1 1223791409
HKEY_CURRENT_USER\Software\NetPumper\Chritoph Connotte Field2 1702677980
HKEY_CURRENT_USER\Software\NetPumper\Chritoph Connotte Field3 1172059448
HKEY_CURRENT_USER\Software\NetPumper\Chritoph Connotte Field4 109698921
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib Version 1.2
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B} IAddUrl
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib Version 1.2
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000} IAddPackage


ViewPoint Beta Low Risk Adware more information...
Details: ViewPoint Toolbar will hijack your search queries and also transmits non personally identifiable information back to their servers
Status: Deleted

Infected files detected
c:\programme\viewpoint\viewpoint manager\vetscriptinterpreter.dll
c:\programme\viewpoint\viewpoint manager\viewcp.cpl
c:\programme\viewpoint\viewpoint manager\viewmgr.exe
c:\programme\viewpoint\viewpoint manager\viewmgrcore.dll
c:\programme\viewpoint\viewpoint manager\viewmgrinstaller.exe
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\s.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_header_av.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_header_cp.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_header_up.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_inner_bg.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_inner_bottom.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_tab1_off.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_tab1_on.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_tab2_off.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_tab2_on.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vm_tab_bg.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\images\vwpt_logo.gif
c:\programme\viewpoint\viewpoint manager\viewcpdata\options.ini
c:\programme\viewpoint\viewpoint manager\viewcpdata\viewpoint.ico
c:\programme\viewpoint\viewpoint manager\viewcpdata\vmctrl.html

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ViewMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Viewpoint Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Viewpoint Manager DisplayName Viewpoint Manager (Remove Only)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Viewpoint Manager UninstallString C:\Programme\Viewpoint\Viewpoint Manager\ViewMgrInstaller.exe /u /k
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Viewpoint Manager DisplayIcon C:\Programme\Viewpoint\Viewpoint Manager\ViewMgrInstaller.exe,0


ErrorSafe Rogue Security Program more information...
Details: ErrorSafe is a disabled data repair utility that nags the user to purchase it in order to fix the problems reported in its scan.
Status: Deleted

Infected files detected
C:\!KillBox\erssdd.sys

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\ErrorSafe
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck\CLSID {5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck\CurVer ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck WFX5PCheck Class
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1\CLSID {5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1 WFX5PCheck Class
HKEY_CURRENT_USER\Software\ErrorSafe
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}\InprocServer32 C:\Programme\ErrorSafe\esPCheck.dll
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}\InprocServer32 ThreadingModel Both
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}\ProgID ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}\TypeLib {68BC55E9-4D3E-4c89-89AC-7559763C98B8}
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}\VersionIndependentProgID ESSPCheck.ESSPCheck
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536} WFX5PCheck Class


IncrediFind Adware (General) more information...
Details: IncrediFind is an Internet Explorer browser helper object that changes your Internet Explorer error page to sirsearch.com and displays popup advertising.
Status: Deleted

Infected files detected
c:\windows\system32\drivers\etc\hosts.bho

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\incredifind


TV Media Display Adware (General) more information...
Details: TV Media Display is secretly installed on users computer to show advertising, usually popups.
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\chritoph connotte\anwendungsdaten\tvmuknwrd.dll

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2}


ABetterInternet.Transponder.Ceres Adware (General) more information...
Details: VX2.ABetterInternet.Transponder.2 is a new transponder variant of aBetterInternet.
Status: Deleted

Infected files detected
C:\!KillBox\addremln.inf


RBot.steam Trojan more information...
Status: Deleted

Infected files detected
C:\CZeroSP\platform\steam_dev.exe


IEPlugin Adware (General) more information...
Details: IEPlugin is an IE Browser Helper Object that monitors site addresses, content entered into forms, and even local filenames browsed, and pops up advertisements when it sees a targeted keyword.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\intexp
HKEY_CURRENT_USER\Software\intexp Uninstall 3.840868E+004
HKEY_CURRENT_USER\Software\intexp GSK 080802cc756963732e89aN
HKEY_CLASSES_ROOT\Wbho.Band
HKEY_CLASSES_ROOT\Wbho.Band\CLSID {01F44A8A-8C97-4325-A378-76E68DC4AB2E}
HKEY_CLASSES_ROOT\Wbho.Band\CurVer Wbho.Band.1
HKEY_CLASSES_ROOT\Wbho.Band Band Class
HKEY_CLASSES_ROOT\remove
HKEY_CLASSES_ROOT\Wbho.Band.1
HKEY_CLASSES_ROOT\Wbho.Band.1\CLSID {01F44A8A-8C97-4325-A378-76E68DC4AB2E}
HKEY_CLASSES_ROOT\Wbho.Band.1 Band Class


WhenU.Save Adware (General) more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\clsid
HKEY_CLASSES_ROOT\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\curver
HKEY_CLASSES_ROOT\runmsc.loader\curver RunMSC.Loader.1
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class


VX2.Transponder Browser Plug-in more information...
Details: VX2 is an Internet Explorer Browser Helper Object that monitors web page requests and data entered into forms, sending this information to its home server, and opens pop-up advertisement windows. VX2 also collects and sends personal information.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\localNRD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\localNRD DisplayName BetterInternet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\localNRD UninstallString RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\addremln.inf, Uninstall


FavoriteMan Browser Plug-in more information...
Details: FavoriteMan is an Internet Explorer Browser Helper Object (BHO) that intermittently connects to its controlling servers which may direct it to download and install other programs and add entries to the IE Favorites menu or background Desktop.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Windows Counter
HKEY_CURRENT_USER\Software\Microsoft\Windows Object
HKEY_CURRENT_USER\Software\Microsoft\Windows Server


VX2.LocalNRD Adware (General) more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\localNRD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\localNRD DisplayName BetterInternet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\localNRD UninstallString RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\addremln.inf, Uninstall


eZula.WebOffer Adware (General) more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\Interface\{370F6327-41C4-4FA6-A2DF-1BA57EE0FBB9}
HKEY_CLASSES_ROOT\Interface\{370F6327-41C4-4FA6-A2DF-1BA57EE0FBB9}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{370F6327-41C4-4FA6-A2DF-1BA57EE0FBB9}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{370F6327-41C4-4FA6-A2DF-1BA57EE0FBB9}\TypeLib {BAF13496-8F72-47A1-9CEE-09238EFC75F0}
HKEY_CLASSES_ROOT\Interface\{370F6327-41C4-4FA6-A2DF-1BA57EE0FBB9}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{370F6327-41C4-4FA6-A2DF-1BA57EE0FBB9} IAtlBrCon


eZula.TopText Adware (General) more information...
Details: eZula TopText is a browser hijacker that will alter all pages viewed in Internet Explorer by adding extra links to words and phrases targeted by advertisers. These links are unauthorized by the users of the sites being viewed and not part of the orig
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\intexp
HKEY_CURRENT_USER\Software\intexp Uninstall 3.840868E+004
HKEY_CURRENT_USER\Software\intexp GSK 080802cc756963732e89aN
HKEY_CLASSES_ROOT\remove

#54 tobiastoba

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AE6AE60893899DAC.job
del AE6AE60893899DAC.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit

#55 Rizzle

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A87C5B7B9187D237.job
del A87C5B7B9187D237.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit

#56 schlampek

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {CCD703BA-DF0D-66DA-D874-8BF356006EE2} - C:\DOKUME~1\Mario\ANWEND~1\MAPISO~1\Magsglue.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [barbrealwaymanager] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flaglinkbarbreal\Encwarn.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [This Loud] C:\DOKUME~1\Mario\ANWEND~1\BROWSE~1\01roadnew.exe

PC neustarten

Deinstalliere:
MessengerPlus! 3 + Sponsorprogeamm

arbeite das alles ab:
http://virus-protect.org/artikel/spyware/lop1.html

loeschen:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flaglinkbarbreal
C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\BROWSE....
C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\MAPISO...

Cleanup,Counterspy (nach dem Scan alles auf remove stellen)...Dr.Web-> alles loeschen oder umbenennen lassen... und Onlinescan Panda (alles manuell loeschen)

--------------------

wenn alles abgearbeitet und sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#57 ChRiS90

tz tz... so ein schlecht gepflegter, verseuchter PC ...du scheinst auf alles zu klicken, was da so blinkt im Net.
Scanne noch mal mit Counterspy und auch mit Panda (alles manuell loeschen)...bis alles sauber ist.
__________
MfG Sabina

rund um die PC-Sicherheit

#58 ist gemacht, damit wurde nur noch der AE6AE60893899DAC.job gelöscht oder?

Auf jeden Fall ein großes Lob an dich!

#59 Also, war zwar schon gestern, aber ich hab deinen Eintrag dennoch gefunden, sabina, und deshalb mach ich jetzt gerade nochmal nen log, mom...

Logfile of HijackThis v1.99.1
Scan saved at 22:13:28, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\programme\steam\steam.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\rita\Eigene Dateien\HiJackThis\HijackThis.exe
C:\Dokumente und Einstellungen\rita\Eigene Dateien\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=40000
5&utm_content=leftnav&utm_source=wdz&utm_medium=bund&utm_campaign=wdz0605
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=4000
05&utm_content=leftnav&utm_source=wdz&utm_medium=bund&utm_campaign=wdz0605
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [mouse-o-meter] D:\Mini-games\mouse.EXE
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\phase6_V1_5\WinStart\WinStart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113573512796
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




So, das wäre er. Danke nochmal, euch beiden :-)
__________
Blubbz!

#60 Bah... hässlicher Trojaner. Jetzt muss ich eure Hilfe leider auch in Anspruch nehmen.


Logfile of HijackThis v1.99.1
Scan saved at 00:01:51, on 19.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
J:\iTunes\iTunesHelper.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
J:\Skype\Phone\Skype.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
J:\iTunes\iTunes.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\explorer.exe
J:\Teamspeak2_RC2\TeamSpeak.exe
J:\HiJack This!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.aol.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - J:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2CD056FC-E412-7435-DBFC-B0ABAF6F9F22} - C:\DOKUME~1\Besitzer\ANWEND~1\OPENDO~1\batextra.exe
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - j:\ws_ftp\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - J:\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [iTunesHelper] "J:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [start bold surf eggs] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\safe mail start bold\64 thunk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "J:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SiteShow] C:\DOKUME~1\Besitzer\ANWEND~1\BLUELO~1\Lies flap.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://J:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Google AdSense Preview Tool - h**p://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - J:\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - J:\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

um klickbare links zu vermeiden hab ich mal alle http:// durch h**p://


ich persönlich würde schätzen, dass die probeme auf lies flap.exe oder 64 chunk.exe zurückzuführen is, evtl. auch auf beide... aber mein wissen reicht hier leider nicht aus, um rauszufinden, wie ich dem ganzen am besten zu leibe rücke.

Ich bin schonmal auf eure Antwort gespannt und natürlich zuversichtlich, dass ihr mir helfen könnt... und wenn nicht werd ich halt meine windows install cd raussuchen müssen.