Prorat-d trojaner entfernen |
||
---|---|---|
#0
| ||
14.04.2006, 16:25
Member
Beiträge: 35 |
||
|
||
14.04.2006, 16:36
Ehrenmitglied
Beiträge: 29434 |
#2
weinfurtnert
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe PC neustarten 1, stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WinHosts in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 17:51
Member
Themenstarter Beiträge: 35 |
#3
hi. ich kann deine links nicht öffnen die du gepostet hast, es kommt nur ein lila bildschirm
auch wenn ich http://virus-protect.org/ eingebe erscheint keine homepage was soll ich machen |
|
|
||
14.04.2006, 17:59
Ehrenmitglied
Beiträge: 29434 |
#4
weinfurtnert
Das ist kein Prorat.... http://virus-protect.org/virus/ffservice.html ----------------------------------------------------------------- Lade avenger.zip --> http://swandog46.geekstogo.com/avenger.zip --> entpacken , installieren kopiere rein: Zitat Files to delete:klicke auf die gruene Ampel das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe PC neustarten Zitat datFind.zip --> entzippe datFind.zip --> datFind.bat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 18:58
Member
Themenstarter Beiträge: 35 |
#5
hi. dachte es wäre ein prorat-d weil spysweeper mir anzeigte das der trojaner backdoor prorat-d gefunden wurde.
hier sind die logs Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\WINDOWS\system32 14.04.2006 18:52 45.056 CompiledAdapter 12.04.2006 15:13 97 d_service.exe 09.04.2006 15:35 1.158 wpa.dbl 29.03.2006 15:18 8.224 GDIPFONTCACHEV1.DAT 29.03.2006 15:16 524.112 FNTCACHE.DAT 26.03.2006 23:37 69.900 perfc009.dat 26.03.2006 23:37 81.172 perfc007.dat 26.03.2006 23:37 432.624 perfh007.dat 26.03.2006 23:37 420.836 perfh009.dat 26.03.2006 23:37 1.016.924 PerfStringBackup.INI 14.02.2006 10:20 550.120 LegitCheckControl.dll 13.02.2006 20:03 8.632 spmsg.dll 26.01.2006 10:48 15.360 BASSMOD.dll 25.01.2006 12:09 492.544 WRLogonNtf.dll 25.01.2006 12:09 8.192 ssiefr.EXE 25.01.2006 12:09 17.920 wrlzma.dll 25.01.2006 03:35 200.704 libssl32.dll 19.01.2006 17:10 7.006 jupdate-1.5.0_06-b05.log 18.01.2006 17:09 3.243 jupdate-1.4.2_06-b03.log 14.01.2006 08:54 23.392 nscompat.tlb 14.01.2006 08:54 16.832 amcompat.tlb 08.12.2005 14:56 65.536 QuickTimeVR.qtx 08.12.2005 14:56 49.152 QuickTime.qts 20.11.2005 17:12 552 d3d8caps.dat 10.11.2005 14:03 49.265 jpicpl32.cpl 10.11.2005 12:27 49.250 javaw.exe 10.11.2005 12:27 49.248 java.exe 03.11.2005 12:50 200.704 ssleay32.dll 03.11.2005 12:50 1.064.960 libeay32.dll 03.11.2005 10:43 0 asfiles.txt 03.11.2005 10:40 2.550 Uninstall.ico 03.11.2005 10:40 1.406 Help.ico 03.11.2005 10:40 1.718 Open.ico 03.11.2005 10:40 1.406 AddQuit.ico 03.11.2005 10:40 5.350 IE.ico 03.11.2005 10:40 9.470 Desktop.ico 03.11.2005 10:40 1.718 Quick.ico 01.11.2005 14:19 7.314.334 WinTemp20584.exe 01.11.2005 14:19 105 MSRunningDLL.exe.bat 01.11.2005 14:19 51.733 plugin1.dat Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp 14.04.2006 18:52 81.920 ~DFF55C.tmp 14.04.2006 18:52 16.384 Perflib_Perfdata_8d8.dat 14.04.2006 18:52 408 WCESCOMM.LOG 14.04.2006 18:48 81.920 ~DFE791.tmp 14.04.2006 18:32 917.504 MFPL7014.DLL 14.04.2006 18:24 53.768 epurcdever15.dll.zip 14.04.2006 18:24 0 EPSLog.txt 14.04.2006 17:22 136 EPS_PicLookup.dat 14.04.2006 17:19 36.854 WcesView.log 14.04.2006 17:16 39.985 epurcdever11.dll.zip Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\WINDOWS 14.04.2006 18:52 0 0.log 14.04.2006 18:52 435.504 WindowsUpdate.log 14.04.2006 18:51 159 wiadebug.log 14.04.2006 18:51 50 wiaservc.log 14.04.2006 18:51 2.048 bootstat.dat 14.04.2006 18:50 32.548 SchedLgU.Txt 14.04.2006 16:19 539.331 setupapi.log 14.04.2006 14:53 177.354 ntbtlog.txt 14.04.2006 14:41 1.046.917 ktd32.atm -> Troj/Prorat-E http://www.avira.com/de/threats/section/fulldetails/id_vir/1840/bds_prorat.rc.html 12.04.2006 19:57 202 NeroDigital.ini 10.04.2006 22:04 207 uno.ini 10.04.2006 21:19 248 BUHL.INI 10.04.2006 00:14 84.479 wmsetup.log 02.04.2006 19:14 5.198 klamm.de_cold.ico 02.04.2006 19:14 5.510 klamm.de.ico 29.03.2006 20:09 1.262 win.ini 29.03.2006 19:44 1.080 AUTOLNCH.REG 27.03.2006 17:53 1.137 IE4 Error Log.txt 12.03.2006 13:54 936 DirectX.log 08.03.2006 11:28 670 GEARInstall.log 07.03.2006 11:48 0 musicmaker.INI 05.03.2006 21:23 16.749 wizard.log 05.03.2006 21:19 13.508 wizard.log_20060305_20_23_21 05.03.2006 21:15 8.249 WGA.log 05.03.2006 21:15 18.974 ehOCGen.log 05.03.2006 21:15 49.899 MedCtrOC.log 05.03.2006 21:15 6.649 iis6.log 05.03.2006 21:15 1.247 ntdtcsetup.log 05.03.2006 21:15 15.600 tabletoc.log 05.03.2006 21:15 109.041 comsetup.log 05.03.2006 21:15 7.907 KB898461.log 05.03.2006 21:15 17.235 ocmsn.log 05.03.2006 21:15 1.355 imsins.log 05.03.2006 21:15 149.204 tsoc.log 05.03.2006 21:15 15.635 msgsocm.log 05.03.2006 21:15 39.505 plusoc.log 05.03.2006 21:15 67.934 netfxocm.log 05.03.2006 21:15 160.436 ocgen.log 05.03.2006 21:15 321.708 FaxSetup.log 05.03.2006 21:15 103.830 msmqinst.log 28.02.2006 20:22 45 wwwbatch.ini 28.02.2006 20:22 1.180 FRNDSL.log 27.02.2006 20:03 25 accessdll.log 27.02.2006 20:03 1.028 avmsetup.log 25.02.2006 17:19 606 One Cat Doodler 3.uis 25.02.2006 17:19 36.864 uninst.exe 25.02.2006 17:19 36.864 ocuninst.exe 25.02.2006 11:06 303.104 Setup1.exe 25.02.2006 11:06 74.752 ST6UNST.EXE 24.02.2006 02:41 3.722 dahotfix.log 24.02.2006 02:41 19.360 dasetup.log 24.02.2006 02:05 363.216 setupact.log 16.02.2006 19:38 122 telephon.ini 14.02.2006 22:51 72.998 _detmp.1 14.02.2006 22:50 703 avmadd32.log 14.02.2006 19:33 2.510 Microsoft.MIF 12.02.2006 23:45 5.022 ModemLog_Sony Ericsson W550 USB WMC Modem.txt 12.02.2006 23:45 4.794 ModemLog_Sony Ericsson W550 USB WMC Data Modem.txt 10.02.2006 12:25 170 setup.log 09.02.2006 21:11 2.464 $_hpcst$.hpc 30.01.2006 22:59 50.398 DPINST.LOG 25.01.2006 12:10 478.720 WRUninstall.dll 14.01.2006 23:11 237 wmsetup10.log 14.01.2006 08:52 316.640 WMSysPr9.prx 08.01.2006 19:48 309 svcpack.log 01.01.2006 22:37 30 Iedit.INI 24.12.2005 17:21 5.120 Thumbs.db 24.12.2005 16:20 28.672 gscr.dll 03.12.2005 17:22 43 gswin32.ini 20.11.2005 17:34 272 system.ini 20.11.2005 17:32 72 wipdate.log 20.11.2005 16:11 20 hppsapp.INI 20.11.2005 14:57 0 setuperr.log 19.11.2005 11:40 2.366 patch.log 13.11.2005 15:11 5.820 COM+.log 22.10.2005 08:49 83 wwp.INI 16.10.2005 17:38 83 GraphicsDesk.INI 15.10.2005 21:37 636 ODBC.INI 15.10.2005 21:34 4.346 ODBCINST.INI 15.09.2005 14:35 50 UNNeroMediaHome.cfg 12.09.2005 16:13 233.472 UNRecode.exe 12.09.2005 16:13 233.472 UNNeroMediaHome.exe 12.09.2005 16:13 233.472 UNNeroVision.exe 12.09.2005 16:13 233.472 UNNeroBackItUp.exe 12.09.2005 16:13 233.472 UNNeroShowTime.exe 11.09.2005 15:25 44.784 MAGIX midi studio 2005 deLuxe.PRF 11.09.2005 15:24 0 AudStu.INI 11.09.2005 15:20 24 magix.ini 05.09.2005 09:44 156.910 WMSysPr8.prx 30.08.2005 21:37 50 UNNeroVision.cfg 30.08.2005 21:37 50 UNNeroShowTime.cfg 30.08.2005 21:36 50 UNRecode.cfg 30.08.2005 21:33 50 UNNeroBackItUp.cfg 18.08.2005 07:35 4.566 imsins.BAK 15.08.2005 21:31 4.096 d3dx.dat Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\ 14.04.2006 18:57 0 sys.txt 14.04.2006 18:57 12.646 system.txt 14.04.2006 18:56 22.661 systemtemp.txt 14.04.2006 18:55 118.793 system32.txt 14.04.2006 18:53 92 pmcs.txt 14.04.2006 18:52 101 recorder.txt 14.04.2006 18:52 1.392 checkrun.txt 14.04.2006 18:51 536.399.872 hiberfil.sys 14.04.2006 18:51 805.306.368 pagefile.sys 14.04.2006 18:46 2.244 avenger.txt 14.04.2006 18:44 1.080 tcyfmjem.bat 14.04.2006 18:44 126.976 zip.exe 14.04.2006 15:21 3.411 LOGFILE.TXT 29.03.2006 19:43 0 Log.txt 20.11.2005 17:34 220 boot.ini 15.08.2005 20:01 62 CONFIG.SYS 15.08.2005 20:01 33 AUTOEXEC.BAT 20.05.2005 14:09 251.712 ntldr 20.05.2005 13:55 0 IO.SYS 20.05.2005 13:55 0 MSDOS.SYS 09.05.2005 15:06 17.989 Prodlog.txt 10.08.2004 14:00 4.952 bootfont.bin 10.08.2004 14:00 47.564 NTDETECT.COM 05.01.2002 03:40 487.424 msvcp70.dll 05.01.2002 03:37 344.064 msvcr70.dll 25 Datei(en) 1.343.149.656 Bytes 0 Verzeichnis(se), 83.578.413.056 Bytes frei ich hoffe es hilft dir weiter |
|
|
||
14.04.2006, 19:13
Ehrenmitglied
Beiträge: 29434 |
#6
1.
stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html http://www.stevengould.org/downloads/cleanup/CleanUp451.exe 2. kopiere in den Avenger Zitat Files to delete:PC neustarten lassen. 3. dann poste die zwei Logs vom Avenger __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2006, 20:33
Member
Themenstarter Beiträge: 35 |
#7
aber bei der virus-protect.org seite erscheint ja bei mir nichts wie soll ich ihn dann genauso einstellen wie abgebildet?????
gruß tom |
|
|
||
14.04.2006, 20:37
Ehrenmitglied
Beiträge: 29434 |
#8
wende den CleanUp so an, wie er nach der Installation erscheint.
Klick "Options..." (Custom Clean Up) Hake an: * Empty Recycle Bins * Delete Cookies * Delete Prefetch files * Cleanup! All Users Click OK Klicke den CleanUp! Button, um das Programm zu starten Wenn man am Ende gefragt wird, ob der PC neustarten soll (reboot), klicke "yes" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 05:55
Member
Themenstarter Beiträge: 35 |
#9
hi.kam die meldung kann zip file nicht erstellen
////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: could not create zip file. Error code: 0 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hkpuoewn ******************* Script file located at: \??\C:\WINDOWS\dfxjdfbk.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\ktd32.atm deleted successfully. File C:\WINDOWS\system32\winkey.dll not found! Deletion of file C:\WINDOWS\system32\winkey.dll failed! Could not process line: C:\WINDOWS\system32\winkey.dll Status: 0xc0000034 File C:\WINDOWS\system32\reginv.dl not found! Deletion of file C:\WINDOWS\system32\reginv.dl failed! Could not process line: C:\WINDOWS\system32\reginv.dl Status: 0xc0000034 File C:\WINDOWS\services.exe not found! Deletion of file C:\WINDOWS\services.exe failed! Could not process line: C:\WINDOWS\services.exe Status: 0xc0000034 File C:\WINDOWS\System\sservice.exe not found! Deletion of file C:\WINDOWS\System\sservice.exe failed! Could not process line: C:\WINDOWS\System\sservice.exe Status: 0xc0000034 File C:\WINDOWS\system32\d_service.exe deleted successfully. File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip not found! Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip failed! Could not process line: C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip Status: 0xc0000034 File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip not found! Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip failed! Could not process line: C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip Status: 0xc0000034 File C:\tcyfmjem.bat deleted successfully. File C:\zip.exe deleted successfully. Completed script processing. ******************* Finished! Terminate.////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ldggxois ******************* Script file located at: \??\C:\WINDOWS\system32\pgkuafmy.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\ktd32.atm not found! Deletion of file C:\WINDOWS\ktd32.atm failed! Could not process line: C:\WINDOWS\ktd32.atm Status: 0xc0000034 File C:\WINDOWS\system32\winkey.dll not found! Deletion of file C:\WINDOWS\system32\winkey.dll failed! Could not process line: C:\WINDOWS\system32\winkey.dll Status: 0xc0000034 File C:\WINDOWS\system32\reginv.dl not found! Deletion of file C:\WINDOWS\system32\reginv.dl failed! Could not process line: C:\WINDOWS\system32\reginv.dl Status: 0xc0000034 File C:\WINDOWS\services.exe not found! Deletion of file C:\WINDOWS\services.exe failed! Could not process line: C:\WINDOWS\services.exe Status: 0xc0000034 File C:\WINDOWS\System\sservice.exe not found! Deletion of file C:\WINDOWS\System\sservice.exe failed! Could not process line: C:\WINDOWS\System\sservice.exe Status: 0xc0000034 File C:\WINDOWS\system32\d_service.exe not found! Deletion of file C:\WINDOWS\system32\d_service.exe failed! Could not process line: C:\WINDOWS\system32\d_service.exe Status: 0xc0000034 File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip not found! Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip failed! Could not process line: C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip Status: 0xc0000034 File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip not found! Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip failed! Could not process line: C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip Status: 0xc0000034 File C:\tcyfmjem.bat not found! Deletion of file C:\tcyfmjem.bat failed! Could not process line: C:\tcyfmjem.bat Status: 0xc0000034 File C:\zip.exe not found! Deletion of file C:\zip.exe failed! Could not process line: C:\zip.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate.////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\sepkatwo ******************* Script file located at: \??\C:\WINDOWS\system32\wdttaqrs.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\ktd32.atm not found! Deletion of file C:\WINDOWS\ktd32.atm failed! Could not process line: C:\WINDOWS\ktd32.atm Status: 0xc0000034 File C:\WINDOWS\system32\winkey.dll not found! Deletion of file C:\WINDOWS\system32\winkey.dll failed! Could not process line: C:\WINDOWS\system32\winkey.dll Status: 0xc0000034 File C:\WINDOWS\system32\reginv.dl not found! Deletion of file C:\WINDOWS\system32\reginv.dl failed! Could not process line: C:\WINDOWS\system32\reginv.dl Status: 0xc0000034 File C:\WINDOWS\services.exe not found! Deletion of file C:\WINDOWS\services.exe failed! Could not process line: C:\WINDOWS\services.exe Status: 0xc0000034 File C:\WINDOWS\System\sservice.exe not found! Deletion of file C:\WINDOWS\System\sservice.exe failed! Could not process line: C:\WINDOWS\System\sservice.exe Status: 0xc0000034 File C:\WINDOWS\system32\d_service.exe not found! Deletion of file C:\WINDOWS\system32\d_service.exe failed! Could not process line: C:\WINDOWS\system32\d_service.exe Status: 0xc0000034 File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip not found! Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip failed! Could not process line: C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever11.dll.zip Status: 0xc0000034 File C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip not found! Deletion of file C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip failed! Could not process line: C:\DOKUME~1\Thomas\LOKALE~1\Temp\epurcdever15.dll.zip Status: 0xc0000034 File C:\tcyfmjem.bat not found! Deletion of file C:\tcyfmjem.bat failed! Could not process line: C:\tcyfmjem.bat Status: 0xc0000034 File C:\zip.exe not found! Deletion of file C:\zip.exe failed! Could not process line: C:\zip.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
|
|
||
15.04.2006, 09:29
Ehrenmitglied
Beiträge: 29434 |
#10
nun poste bitte noch mal die Logs von datfindbat (alle 4)
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 09:39
Member
Themenstarter Beiträge: 35 |
#11
hi.hier diee logs
Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\WINDOWS\system32 15.04.2006 05:51 45.056 CompiledAdapter 09.04.2006 15:35 1.158 wpa.dbl 29.03.2006 15:18 8.224 GDIPFONTCACHEV1.DAT 29.03.2006 15:16 524.112 FNTCACHE.DAT 26.03.2006 23:37 69.900 perfc009.dat 26.03.2006 23:37 432.624 perfh007.dat 26.03.2006 23:37 81.172 perfc007.dat 26.03.2006 23:37 420.836 perfh009.dat 26.03.2006 23:37 1.016.924 PerfStringBackup.INI 14.02.2006 10:20 550.120 LegitCheckControl.dll 13.02.2006 20:03 8.632 spmsg.dll 26.01.2006 10:48 15.360 BASSMOD.dll 25.01.2006 12:09 492.544 WRLogonNtf.dll 25.01.2006 12:09 8.192 ssiefr.EXE 25.01.2006 12:09 17.920 wrlzma.dll 25.01.2006 03:35 200.704 libssl32.dll 19.01.2006 17:10 7.006 jupdate-1.5.0_06-b05.log 18.01.2006 17:09 3.243 jupdate-1.4.2_06-b03.log 14.01.2006 08:54 16.832 amcompat.tlb 14.01.2006 08:54 23.392 nscompat.tlb 08.12.2005 14:56 65.536 QuickTimeVR.qtx 08.12.2005 14:56 49.152 QuickTime.qts 20.11.2005 17:12 552 d3d8caps.dat 10.11.2005 14:03 49.265 jpicpl32.cpl 10.11.2005 12:27 49.250 javaw.exe 10.11.2005 12:27 49.248 java.exe 03.11.2005 12:50 200.704 ssleay32.dll 03.11.2005 12:50 1.064.960 libeay32.dll 03.11.2005 10:43 0 asfiles.txt 03.11.2005 10:40 2.550 Uninstall.ico 03.11.2005 10:40 1.406 Help.ico 03.11.2005 10:40 1.718 Open.ico 03.11.2005 10:40 1.406 AddQuit.ico 03.11.2005 10:40 5.350 IE.ico 03.11.2005 10:40 9.470 Desktop.ico 03.11.2005 10:40 1.718 Quick.ico 01.11.2005 14:19 7.314.334 WinTemp20584.exe 01.11.2005 14:19 105 MSRunningDLL.exe.bat 01.11.2005 14:19 51.733 plugin1.dat Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp 15.04.2006 09:35 218.149 ~ept0002.jpg 15.04.2006 09:31 917.504 MFPL7014.DLL 15.04.2006 09:26 243.232 ~ept0001.jpg 15.04.2006 09:24 2.752.512 ~DFDD18.tmp 15.04.2006 09:24 0 EPSLog.txt 15.04.2006 09:16 0 JET3263.tmp 15.04.2006 09:16 0 JET17A7.tmp 15.04.2006 09:10 31.880 AAX8D.tmp 15.04.2006 09:05 31.880 AAX8A.tmp 15.04.2006 08:46 369.239 ~ept0000.jpg 15.04.2006 08:29 31.880 AAX84.tmp 15.04.2006 08:23 31.880 AAX7E.tmp 15.04.2006 08:20 31.880 AAX78.tmp 15.04.2006 08:15 31.880 AAX72.tmp 15.04.2006 07:16 31.880 AAX66.tmp 15.04.2006 07:12 31.880 AAX63.tmp 15.04.2006 07:09 31.880 AAX60.tmp 15.04.2006 07:04 31.880 AAX5A.tmp 15.04.2006 06:55 31.880 AAX54.tmp 15.04.2006 06:25 741 VGX2C.tmp 15.04.2006 06:00 204 jusched.log 15.04.2006 05:51 81.920 ~DFF49B.tmp 15.04.2006 05:51 16.384 Perflib_Perfdata_88c.dat 15.04.2006 05:51 408 WCESCOMM.LOG 15.04.2006 05:44 81.920 ~DFA4.tmp 25 Datei(en) 5.032.893 Bytes 0 Verzeichnis(se), 81.973.755.904 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\WINDOWS 15.04.2006 05:51 0 0.log 15.04.2006 05:51 438.012 WindowsUpdate.log 15.04.2006 05:50 159 wiadebug.log 15.04.2006 05:50 50 wiaservc.log 15.04.2006 05:50 2.048 bootstat.dat 15.04.2006 05:49 32.548 SchedLgU.Txt 15.04.2006 05:47 652 rkwjyeiv.txt 14.04.2006 16:19 539.331 setupapi.log 14.04.2006 14:53 177.354 ntbtlog.txt 12.04.2006 19:57 202 NeroDigital.ini 10.04.2006 22:04 207 uno.ini 10.04.2006 21:19 248 BUHL.INI 10.04.2006 00:14 84.479 wmsetup.log 02.04.2006 19:14 5.198 klamm.de_cold.ico 02.04.2006 19:14 5.510 klamm.de.ico 29.03.2006 20:09 1.262 win.ini 29.03.2006 19:44 1.080 AUTOLNCH.REG 12.03.2006 13:54 936 DirectX.log 08.03.2006 11:28 670 GEARInstall.log 07.03.2006 11:48 0 musicmaker.INI 05.03.2006 21:23 16.749 wizard.log 05.03.2006 21:19 13.508 wizard.log_20060305_20_23_21 05.03.2006 21:15 8.249 WGA.log 05.03.2006 21:15 18.974 ehOCGen.log 05.03.2006 21:15 49.899 MedCtrOC.log 05.03.2006 21:15 6.649 iis6.log 05.03.2006 21:15 1.247 ntdtcsetup.log 05.03.2006 21:15 15.600 tabletoc.log 05.03.2006 21:15 149.204 tsoc.log 05.03.2006 21:15 109.041 comsetup.log 05.03.2006 21:15 17.235 ocmsn.log 05.03.2006 21:15 1.355 imsins.log 05.03.2006 21:15 7.907 KB898461.log 05.03.2006 21:15 39.505 plusoc.log 05.03.2006 21:15 160.436 ocgen.log 05.03.2006 21:15 15.635 msgsocm.log 05.03.2006 21:15 67.934 netfxocm.log 05.03.2006 21:15 321.708 FaxSetup.log 05.03.2006 21:15 103.830 msmqinst.log 28.02.2006 20:22 45 wwwbatch.ini 28.02.2006 20:22 1.180 FRNDSL.log 27.02.2006 20:03 25 accessdll.log 27.02.2006 20:03 1.028 avmsetup.log 25.02.2006 17:19 606 One Cat Doodler 3.uis 25.02.2006 17:19 36.864 uninst.exe 25.02.2006 17:19 36.864 ocuninst.exe 25.02.2006 11:06 303.104 Setup1.exe 25.02.2006 11:06 74.752 ST6UNST.EXE 24.02.2006 02:41 3.722 dahotfix.log 24.02.2006 02:41 19.360 dasetup.log 24.02.2006 02:05 363.216 setupact.log 16.02.2006 19:38 122 telephon.ini 14.02.2006 22:51 72.998 _detmp.1 14.02.2006 22:50 703 avmadd32.log 14.02.2006 19:33 2.510 Microsoft.MIF 12.02.2006 23:45 5.022 ModemLog_Sony Ericsson W550 USB WMC Modem.txt 12.02.2006 23:45 4.794 ModemLog_Sony Ericsson W550 USB WMC Data Modem.txt 10.02.2006 12:25 170 setup.log 09.02.2006 21:11 2.464 $_hpcst$.hpc 30.01.2006 22:59 50.398 DPINST.LOG 25.01.2006 12:10 478.720 WRUninstall.dll 14.01.2006 23:11 237 wmsetup10.log 14.01.2006 08:52 316.640 WMSysPr9.prx 08.01.2006 19:48 309 svcpack.log 01.01.2006 22:37 30 Iedit.INI 24.12.2005 17:21 5.120 Thumbs.db 24.12.2005 16:20 28.672 gscr.dll 03.12.2005 17:22 43 gswin32.ini 20.11.2005 17:34 272 system.ini 20.11.2005 17:32 72 wipdate.log 20.11.2005 16:11 20 hppsapp.INI 20.11.2005 14:57 0 setuperr.log 19.11.2005 11:40 2.366 patch.log 13.11.2005 15:11 5.820 COM+.log Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\ 15.04.2006 09:39 0 sys.txt 15.04.2006 09:38 12.594 system.txt 15.04.2006 09:38 1.453 systemtemp.txt 15.04.2006 09:37 118.742 system32.txt 15.04.2006 05:51 92 pmcs.txt 15.04.2006 05:51 101 recorder.txt 15.04.2006 05:51 1.566 checkrun.txt 15.04.2006 05:50 536.399.872 hiberfil.sys 15.04.2006 05:49 805.306.368 pagefile.sys 15.04.2006 05:49 13.988 avenger.txt 15.04.2006 05:47 1.080 ehxhyxqt.bat 15.04.2006 05:46 1.080 mdodftua.bat 14.04.2006 15:21 3.411 LOGFILE.TXT 29.03.2006 19:43 0 Log.txt 20.11.2005 17:34 220 boot.ini 15.08.2005 20:01 62 CONFIG.SYS 15.08.2005 20:01 33 AUTOEXEC.BAT 20.05.2005 14:09 251.712 ntldr 20.05.2005 13:55 0 MSDOS.SYS 20.05.2005 13:55 0 IO.SYS 09.05.2005 15:06 17.989 Prodlog.txt 10.08.2004 14:00 4.952 bootfont.bin 10.08.2004 14:00 47.564 NTDETECT.COM 05.01.2002 03:40 487.424 msvcp70.dll 05.01.2002 03:37 344.064 msvcr70.dll 25 Datei(en) 1.343.014.367 Bytes 0 Verzeichnis(se), 81.973.755.904 Bytes frei |
|
|
||
15.04.2006, 09:46
Ehrenmitglied
Beiträge: 29434 |
#12
die dat haben sich neu erstellt... wir muessen den Downloader finden (siehe kaspersky...)
1. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ... C:\WINDOWS\rkwjyeiv.txt C:\ehxhyxqt.bat C:\mdodftua.bat PC neustarten 2. scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 14:52
Member
Themenstarter Beiträge: 35 |
#13
hi.dr kaspersky scanner funktionierte leider bei mir nicht fa habe ich den von symantec genommen.
hier ist das resultat: A scan has not been run. To start Virus Detection, click here. C:\WINDOWS\system32\Dap\Dap.exe is infected with Hacktool C:\WINDOWS\system32\Dap\smss.exe is infected with Backdoor.Trojan C:\Programme\Gemeinsame Dateien\WinSoftware\CrXML.dll is infected with WinFixer C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll is infected with WinFixer C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-3973bd34-60e09b62.zip is infected with Trojan.ByteVerify C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-6914f0b8-49ab7213.zip is infected with Trojan.ByteVerify C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp is infected with Download.Trojan |
|
|
||
15.04.2006, 15:35
Ehrenmitglied
Beiträge: 29434 |
#14
weinfurtnert
1. loesche mit der Killbox: C:\WINDOWS\system32\Dap\Dap.exe C:\WINDOWS\system32\Dap\smss.exe C:\Programme\Gemeinsame Dateien\WinSoftware\CrXML.dll C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll PC neustarten 2. C:\Programme\Gemeinsame Dateien\WinSoftware --> loeschen C:\WINDOWS\system32\Dap --> loeschen 3. Laufwerk C: eine Datenträgerbereinigung vornehmen. Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k 4, Counterspy http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab 5. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WinHosts in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 17:01
Member
Themenstarter Beiträge: 35 |
#15
hi.hier das counterspy ergebniss:
Spyware Scan Details Start Date: 15.04.2006 16:03:22 End Date: 15.04.2006 16:47:27 Total Time: 44 mins 5 secs Detected spyware ABetterInternet.Aurora Adware (General) more information... Details: Opens popups on the desktop based on site visit history; may disable or uninstall other software; denies uninstallation Status: Deleted Infected files detected c:\windows\issm0064.dat WinFixer Rogue Security Program more information... Details: WinFixer is a disabled data repair utility that nags the user to purchase it in order to fix the problems reported in its scan. Status: Deleted Infected files detected c:\windows\system32\drivers\df_kmd.sys C:\!KillBox\CrXML.dll C:\!KillBox\PCheck.dll Infected registry entries detected HKEY_CURRENT_USER\Software\WinSoftware HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware KeyKey Commercial Key Logger more information... Details: KeyKey Monitor is built to log every word and letter typed into a computer. It will record typing while in chat groups, email programs, instant messages, word processors. Status: Deleted Infected files detected c:\windows\system32\zlib.dll SafeSurfing.RsyncMon Browser Plug-in more information... Details: SafeSurfing.RsyncMon is a SafeSurfing adware variant that installs as a Browser Helper Object (BHO) in Internet Explorer. Status: Deleted Infected registry entries detected HKEY_CLASSES_ROOT\Interface\{2AB7A3C6-9D09-428C-AA65-07BD49FB7065}\TypeLib Version 1.0 WinAntiSpyware Rogue Security Program more information... Details: WinAntispyware is a rogue antis-pyware product which pesters users with scareware tactics to purchase the product. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\WinSoftware HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware Msqsrc Trojan more information... Details: Msqsrc is a malware downloader related to Trojan-Downloader.Win32.Dluca. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\InfoSoft HKEY_CURRENT_USER\Software\InfoSoft UseRUU 1 Com.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\thomas\cookies\thomas@com[1].txt Hier ist das Regsearch log: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 15.04.2006 16:54:45 for strings: ; 'winhosts' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINHOSTS\0000] "Service"="WinHosts" "DeviceDesc"="WinHosts" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts] ; Contents of value: ; C:\WINDOWS\system32\WinHosts.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 57,69,6e,48,6f,73,74,73,2e,65,78,65,00 "DisplayName"="WinHosts" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinHosts\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINHOSTS\0000] "Service"="WinHosts" "DeviceDesc"="WinHosts" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts] ; Contents of value: ; C:\WINDOWS\system32\WinHosts.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 57,69,6e,48,6f,73,74,73,2e,65,78,65,00 "DisplayName"="WinHosts" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinHosts\Enum] "0"="Root\\LEGACY_WINHOSTS\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHOSTS\0000] "Service"="WinHosts" "DeviceDesc"="WinHosts" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts] ; Contents of value: ; C:\WINDOWS\system32\WinHosts.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 57,69,6e,48,6f,73,74,73,2e,65,78,65,00 "DisplayName"="WinHosts" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHosts\Enum] "0"="Root\\LEGACY_WINHOSTS\\0000" [HKEY_USERS\S-1-5-21-1906362370-3587733247-3442554471-1006\Software\Neuber GbR\Security Task Manager\Cache] "C:\\WINDOWS\\system32\\WinHosts.exe"="1184" ; End Of The Log... |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 15:48:34, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wwSecure.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\progra~1\yahoo!\YCentral\YahooCentral.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
c:\programme\freenet\freenet sms\SMSClient.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Virenprogramme\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=229083
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: (no name) - {B49618C0-7169-4F70-B0C1-DD135C97ADD3} - C:\WINDOWS\system32\lfpcy70n.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe
O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SMS-Client] c:\programme\freenet\freenet sms\SMSStarter.exe -minimized
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: AVSKEYX - http://www.avskey.de/view/avskey/gate/ocx/AVSKeyX.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/nd/nd01310.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2318adbeb1a95f5ac915/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141585845843
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WinHosts - Unknown owner - C:\WINDOWS\system32\WinHosts.exe (file missing)
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe