System Alert: Spyware detected und... |
||
---|---|---|
#0
| ||
16.06.2006, 02:00
Member
Beiträge: 37 |
||
|
||
16.06.2006, 13:16
Ehrenmitglied
Beiträge: 29434 |
#2
1.
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip 4. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2006, 13:27
Member
Themenstarter Beiträge: 37 |
#3
So... erstmal das von Datfindbat... ich editier den rest gleich mit rein (hoff ich mach es richtig, das letzte mal ist schon wieder n bisschen her )
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von C:\WINDOWS\system32 16.06.2006 13:19 4.984 stdole3.tlb 16.06.2006 13:08 8.192 simpole.tlb 16.06.2006 13:08 48.128 hp107.tmp 16.06.2006 12:51 48.128 hp106.tmp 16.06.2006 12:31 48.128 hp105.tmp 16.06.2006 11:54 48.128 hp104.tmp 16.06.2006 11:39 48.128 hp103.tmp 16.06.2006 11:23 48.128 hp102.tmp 16.06.2006 11:23 48.128 hp101.tmp 16.06.2006 11:20 48.128 hp100.tmp 16.06.2006 11:20 49.677 ld100.tmp 16.06.2006 00:57 176.128 ofcukiz.dll 16.06.2006 00:57 74.240 dcomcfg.exe 16.06.2006 00:57 4.286 ts.ico 16.06.2006 00:57 10.788 atmclk.exe 16.06.2006 00:57 4.286 ot.ico 16.06.2006 00:50 59.917 regperf.exe 15.06.2006 15:17 43.520 CmdLineExt03.dll 15.06.2006 09:04 13.646 wpa.dbl 09.06.2006 03:19 5.967.776 MRT.exe 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 20:47 163.840 jgdw400.dll 29.05.2006 17:30 1.494.016 shdocvw.dll 19.05.2006 17:09 3.073.536 mshtml.dll 18.05.2006 07:36 450.560 jscript.dll 17.05.2006 12:51 21.840 SIntfNT.dll 17.05.2006 12:51 17.212 SIntf32.dll 17.05.2006 12:51 12.067 SIntf16.dll 14.05.2006 10:48 181.248 rasmans.dll 12.05.2006 15:32 1.081.616 MSCOMCTL.OCX 12.05.2006 15:32 2.496 MSCOMCTL.DEP 12.05.2006 15:32 88.576 msdxm.oca 11.05.2006 10:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp --- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von C:\WINDOWS 16.06.2006 13:19 145.605 setupapi.log 16.06.2006 11:29 1.314.937 WindowsUpdate.log 16.06.2006 11:20 0 0.log 16.06.2006 11:20 159 wiadebug.log 16.06.2006 11:20 50 wiaservc.log 16.06.2006 11:20 2.048 bootstat.dat 16.06.2006 04:03 32.546 SchedLgU.Txt 16.06.2006 03:27 923 spupdsvc.log 16.06.2006 03:01 16.099 comsetup.log 16.06.2006 03:01 18.872 tsoc.log 16.06.2006 03:01 2.736 ocmsn.log 16.06.2006 03:01 1.374 imsins.log 16.06.2006 03:01 9.796 ntdtcsetup.log 16.06.2006 03:01 7.794 iis6.log 16.06.2006 03:01 12.517 KB917734.log 16.06.2006 03:01 19.589 wmsetup.log 16.06.2006 03:01 23.328 ocgen.log 16.06.2006 03:01 2.472 msgsocm.log 16.06.2006 03:01 49.457 FaxSetup.log 16.06.2006 03:01 1.374 imsins.BAK 16.06.2006 03:01 16.072 KB918439.log 16.06.2006 03:01 16.752 KB917344.log 16.06.2006 03:01 4.117 updspapi.log 16.06.2006 03:01 15.714 KB917953.log 16.06.2006 03:00 15.697 KB911280.log 16.06.2006 03:00 19.341 KB916281.log 16.06.2006 03:00 12.045 KB914389.log 14.06.2006 18:49 1.125 winamp.ini 12.06.2006 12:12 116 NeroDigital.ini 07.06.2006 23:33 316 musicmaker.INI 25.05.2006 22:41 3.645 unins000.dat 25.05.2006 22:41 669.002 unins000.exe 17.05.2006 12:52 31.224 DIIUnin.dat 17.05.2006 12:42 2.829 DIIUnin.pif 17.05.2006 12:42 102.400 DIIUnin.exe 15.05.2006 22:41 720.896 iun6002.exe 15.05.2006 15:27 1.220 DirectX.log 10.05.2006 03:00 12.093 KB913580.log 10.05.2006 03:00 0 setuperr.log 10.05.2006 03:00 0 setupact.log 29.04.2006 15:41 21.825 War3Unin.dat 29.04.2006 01:29 316.640 WMSysPr9.prx 23.04.2006 13:55 317 Sampler.INI 23.04.2006 13:55 28 Robota.INI 23.04.2006 13:55 325 BeatBox.INI 01.04.2006 23:26 687 win.ini 01.04.2006 23:26 263 system.ini Schritt 3 - Echo.bat 10)DPF???? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.02.2005 16:54 1.271 erma.inf 02.09.2005 10:05 578 kavwebscan.inf 09.10.2003 10:32 144 QTPlugin.inf 27.08.2005 13:30 5.065 swflash.inf 4 Datei(en) 7.058 Bytes Anzahl der angezeigten Dateien: 4 Datei(en) 7.058 Bytes 0 Verzeichnis(se), 26.131.718.144 Bytes frei Schritt 4 -> Listen.bat... Hoffe ich ha bdas richtig gemacht, bin mir nicht sicher, sieht so wenig aus... Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von c:\programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von C:\WINDOWS\Temp 16.06.2006 11:20 <DIR> . 16.06.2006 11:20 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 26.131.361.792 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von C:\ Dieser Beitrag wurde am 16.06.2006 um 13:41 Uhr von Mikedamuh editiert.
|
|
|
||
16.06.2006, 18:04
Ehrenmitglied
Beiträge: 29434 |
#4
Mikedamuh
info: SpywareQuake http://virus-protect.org/artikel/spyware/spywarequake.html ------------------------------------------------------------------------ 0. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87B5E7A452C3CC7 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing) O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpB584.tmp (file missing) PC neustarten 1. deaktiviere die Systemwiederherstellung (nach der Reinigung wieder aktivieren) 2. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 4. smitfraud.fix abarbeiten http://virus-protect.org/artikel/tools/smitfrautfix.html 5. poste den scanreport von smitfraudfix 6. poste noch einmal das erste log von datfindbat (system32) 7. Deinstallieren: ...falls es vorhanden ist..... "Start -> Einstellungen -> Systemsteuerung -> Software" c:\programme\zango C:\Programme\Media-Codec 8. scanne mit panda und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2006, 18:44
Member
Themenstarter Beiträge: 37 |
#5
2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen ... wie genau kann ich es der registry beifügen, seh in der liste, die bei doppelklick auftaucht keine registry ? ---------------------------- So hier erstmal das von Datfind.bat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC6-67E2 Verzeichnis von C:\WINDOWS\system32 16.06.2006 19:26 52 stdole3.tlb 16.06.2006 19:23 13.646 wpa.dbl 16.06.2006 18:38 8.704 simpole.tlb 16.06.2006 18:38 48.640 hp101.tmp 16.06.2006 18:37 48.640 hp100.tmp 16.06.2006 18:37 49.677 ld101.tmp 15.06.2006 15:17 43.520 CmdLineExt03.dll 09.06.2006 03:19 5.967.776 MRT.exe 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 20:47 163.840 jgdw400.dll 29.05.2006 17:30 1.494.016 shdocvw.dll 19.05.2006 17:09 3.073.536 mshtml.dll 18.05.2006 07:36 450.560 jscript.dll 17.05.2006 12:51 21.840 SIntfNT.dll 17.05.2006 12:51 17.212 SIntf32.dll 17.05.2006 12:51 12.067 SIntf16.dll 14.05.2006 10:48 181.248 rasmans.dll 12.05.2006 15:32 1.081.616 MSCOMCTL.OCX 12.05.2006 15:32 2.496 MSCOMCTL.DEP 12.05.2006 15:32 88.576 msdxm.oca 11.05.2006 10:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll 10.05.2006 07:22 474.624 shlwapi.dll 10.05.2006 07:22 615.936 urlmon.dll 10.05.2006 07:22 448.512 mshtmled.dll 10.05.2006 07:22 532.480 mstime.dll 10.05.2006 07:22 39.424 pngfilt.dll 10.05.2006 07:22 146.432 msrating.dll 10.05.2006 07:22 16.384 jsproxy.dll 10.05.2006 07:22 96.768 inseng.dll 10.05.2006 07:22 205.312 dxtrans.dll 10.05.2006 07:22 357.888 dxtmsft.dll 10.05.2006 07:22 1.056.256 danim.dll 10.05.2006 07:22 251.392 iepeers.dll 10.05.2006 07:22 55.808 extmgr.dll 10.05.2006 07:22 152.064 cdfview.dll 10.05.2006 07:22 1.022.976 browseui.dll 01.05.2006 22:57 3.350 KGyGaAvL.sys 24.04.2006 15:40 4.730.880 wmp.dll 19.04.2006 00:30 3.596.288 qt-dx331.dll 10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe 02.04.2006 18:57 39.992 perfc009.dat 02.04.2006 18:57 311.604 perfh009.dat 02.04.2006 18:57 316.594 perfh007.dat 02.04.2006 18:57 721.390 PerfStringBackup.INI 02.04.2006 18:57 48.156 perfc007.dat --------------- Schritt ... 2,4 und 5 konnte ich nicht durchführen... (die meldungen unten rechts sind aber weg, die pop ups scheinen auch weg zu sein) ... und zu panda (schritt 8)... das will das ich ein ActiveX element installiere.. ist das sicher ? ... achja und die seite -> http://www.bestsafetyguide.net/ <- habe ich immernoch als startseite .. (sorry ich weiß ich bring gerade alles durcheinander, aber es geht nicht anders *Seufz* ) Dieser Beitrag wurde am 16.06.2006 um 19:36 Uhr von Mikedamuh editiert.
|
|
|
||
17.06.2006, 22:17
Ehrenmitglied
Beiträge: 29434 |
#6
Mikedamuh
1. spyfalcon.reg -> doppeltklicken mit "ja/yes" --> "ja" waehlen (das ist schon alles ) 2. download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip doppelklick smitfraudfix.cmd .schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt) . doppelklick smitfraudfix.cmd . schreibe: 2 . auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n] die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte... wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt] __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.06.2006, 12:43
Member
Themenstarter Beiträge: 37 |
#7
Ich hoffe du gibst die Geduld mit mir nichtauf... aber bei Spyfalcon, wenn ich es doppeltklicke, kann ich nur OK wählen, dann kommt folgendes... (was sicherlich falsch ist, sieht mal für mich falsch aus *g* )
REGEDIT4 ------------ So hier die 2 smitfraudfix reporte.. Nr 1 und Nr 2 SmitFraudFix v2.61 Scan done at 12:44:17,87, 18.06.2006 Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\hp???.tmp FOUND ! C:\WINDOWS\system32\hp????.tmp FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\ncompat.tlb FOUND ! C:\WINDOWS\system32\simpole.tlb FOUND ! C:\WINDOWS\system32\stdole3.tlb FOUND ! C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" ------ SmitFraudFix v2.61 Scan done at 12:44:49,48, 18.06.2006 Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update" [HKEY_CLASSES_ROOT\CLSID\{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}\InProcServer32] @="C:\WINDOWS\system32\ioctrl.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}\InProcServer32] @="C:\WINDOWS\system32\ioctrl.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{05a91164-3c96-47d6-aa74-2c855791b2d0}"="incaged" [HKEY_CLASSES_ROOT\CLSID\{05a91164-3c96-47d6-aa74-2c855791b2d0}\InProcServer32] @="C:\WINDOWS\system32\ofcukiz.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{05a91164-3c96-47d6-aa74-2c855791b2d0}\InProcServer32] @="C:\WINDOWS\system32\ofcukiz.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files Problem while deleting C:\WINDOWS\system32\hp???.tmp Problem while deleting C:\WINDOWS\system32\hp????.tmp C:\WINDOWS\system32\ld????.tmp Deleted C:\WINDOWS\system32\ncompat.tlb Deleted C:\WINDOWS\system32\simpole.tlb Deleted C:\WINDOWS\system32\stdole3.tlb Deleted C:\WINDOWS\system32\1024\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\system32\ioctrl.dll -> Missing File C:\WINDOWS\system32\ofcukiz.dll -> Missing File »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files ----------- PS: Die startseite ist auch wieder änderbar, irgendetwas hat schonmal geklappt . Dieser Beitrag wurde am 18.06.2006 um 12:51 Uhr von Mikedamuh editiert.
|
|
|
||
18.06.2006, 13:25
Ehrenmitglied
Beiträge: 29434 |
#8
Mikedamuh
1. http://virus-protect.org/zip/spyfalcon.zip spyfalcon.zip entpacken -> spyfalcon.reg doppeltklicken und der Registry beifuegen 2. Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Also hoffe ihr könnt mir aber helfen die 2 blinkenden symbole da wieder los zu werden.. (zur info... ich kann nicht in den abgesicherten modus, hab keine admin rechte, onkel hat damals pc eingerichtet und mir keine rechte gegeben...) ok... und hier das HIJACK this log file...
Edit:-> kommen auch gelegentlich pop-ups merke ich gerade ..
Edit²-> Falls es was hilft... hab das nun als dauert Startseite.. ->http://www.bestsafetyguide.net/ ... kann die auch nicht ändern, kommt immer wieder !
Edit³-> atmclk.exe .. wuauclt.exe .. dcomcfg.exe .. hab ich auch grad im taskmanager gefunden.. falls euch das weiterhilft. (kommt mir zumindest fremd vor auf meinem pc, nie gelesen)
Logfile of HijackThis v1.99.1
Scan saved at 01:56:42, on 16.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Xfire\Xfire.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HijackThis.exe
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D87B5E7A452C3CC7 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing)
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpB584.tmp (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Steam] E:\HL²\\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\{A42B5BC3-974C-470E-9977-AE2EB6CDF125}\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\ATR1.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe