SpywareQuake-Befall - Was tun?? |
||
---|---|---|
#0
| ||
03.07.2006, 12:31
Member
Beiträge: 13 |
||
|
||
03.07.2006, 13:24
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 16:11
Member
Themenstarter Beiträge: 13 |
#3
und wohin kopiere ich dann diese 4 textdateien?
|
|
|
||
03.07.2006, 16:14
Ehrenmitglied
Beiträge: 29434 |
#4
vielleicht hier ??? damit ich sie sehen kann............
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 18:43
Member
Themenstarter Beiträge: 13 |
#5
Oh, sorry. *rotwerd* Also hier die Textdateien:
Verzeichnis von C:\WINDOWS\system32 03.07.2006 16:11 5.000 stdole3.tlb 03.07.2006 16:04 44.032 hp100.tmp 03.07.2006 16:04 54.285 ld101.tmp 03.07.2006 16:04 8.192 simpole.tlb 03.07.2006 12:49 199.131 IKAutoUp.log 03.07.2006 10:58 10.832 atmclk.exe 03.07.2006 10:58 4.286 ot.ico 03.07.2006 10:58 176.128 tnvocyn.dll 03.07.2006 10:58 4.286 ts.ico 03.07.2006 10:58 69.120 dcomcfg.exe 23.06.2006 22:08 5.120 ismon.exe 23.06.2006 22:08 28.680 ishost.exe 17.06.2006 17:40 65.037 regperf.exe 14.05.2006 20:45 2.184 wpa.dbl 29.04.2006 22:48 137.036 AdobeFnt.lst 26.03.2006 12:27 307.816 FNTCACHE.DAT Verzeichnis von C:\DOKUME~1\Marlene\LOKALE~1\Temp 03.07.2006 16:06 0 Acr10.tmp 03.07.2006 16:06 2.048.000 Acr12.tmp 03.07.2006 16:06 179 Acr2.tmp 03.07.2006 16:06 426 Acr4.tmp 03.07.2006 16:04 136 hpotdd016.log 03.07.2006 16:04 35.824 jusched.log 03.07.2006 12:49 136 hpotdd015.log 03.07.2006 11:04 136 hpotdd014.log 02.07.2006 21:23 136 hpotdd013.log 02.07.2006 11:16 136 hpotdd012.log 01.07.2006 23:07 136 hpotdd011.log 01.07.2006 00:10 136 hpotdd010.log 30.06.2006 20:00 136 hpotdd009.log 30.06.2006 13:43 136 hpotdd008.log 30.06.2006 06:33 136 hpotdd007.log 29.06.2006 21:43 136 hpotdd006.log 29.06.2006 21:42 16.384 ~DF464F.tmp 29.06.2006 09:07 136 hpotdd005.log 29.06.2006 08:26 136 hpotdd004.log 29.06.2006 00:00 136 hpotdd003.log 28.06.2006 21:45 136 hpotdd002.log 28.06.2006 17:47 104 0CF6E057.TMP 28.06.2006 08:45 136 hpotdd001.log 28.06.2006 08:45 16.384 ~DF200.tmp 27.06.2006 22:37 136 hpotdd000.log 27.06.2006 22:37 16.384 ~DF5853.tmp 27.06.2006 22:17 2.048 ~WRF0001.tmp 27.06.2006 22:17 136 hpotdd144.log 27.06.2006 19:05 136 hpotdd143.log 27.06.2006 15:35 136 hpotdd142.log 27.06.2006 10:27 136 hpotdd141.log 27.06.2006 06:36 16.384 ~DF822A.tmp 27.06.2006 06:36 136 hpotdd140.log 26.06.2006 22:28 136 hpotdd139.log 26.06.2006 22:28 16.384 ~DFFCFA.tmp 26.06.2006 21:17 16.384 ~DFFE9C.tmp 26.06.2006 21:17 136 hpotdd138.log 26.06.2006 18:55 136 hpotdd137.log 26.06.2006 16:10 136 hpotdd136.log 26.06.2006 16:05 136 hpotdd135.log 26.06.2006 15:54 136 hpotdd134.log 26.06.2006 15:54 16.384 ~DFFE3C.tmp 26.06.2006 15:37 16.384 ~DFFD77.tmp 26.06.2006 15:37 136 hpotdd133.log 26.06.2006 15:24 16.384 ~DF76D4.tmp 26.06.2006 15:24 136 hpotdd132.log 26.06.2006 10:00 16.384 ~DF833A.tmp 26.06.2006 10:00 136 hpotdd131.log 26.06.2006 09:52 1.409 FOR23.tmp 26.06.2006 09:52 27.180 ZTR22.tmp 26.06.2006 09:52 40.448 ZTR20.tmp 26.06.2006 09:52 1.409 FOR21.tmp 25.06.2006 23:34 136 hpotdd130.log 25.06.2006 16:13 16.384 ~DF81A0.tmp 25.06.2006 16:13 136 hpotdd129.log 25.06.2006 15:48 16.384 ~WRF0000.tmp 25.06.2006 15:48 285 ~WRD0695.doc 25.06.2006 15:48 55.808 ~WRS2554.tmp 25.06.2006 15:42 56.674 ~WRC2170.tmp 25.06.2006 15:39 8.760 mso37276.dat 25.06.2006 13:06 136 hpotdd128.log 25.06.2006 13:06 16.384 ~DF32F7.tmp 25.06.2006 10:54 16.384 ~DFFF36.tmp 25.06.2006 10:54 136 hpotdd127.log 24.06.2006 21:46 136 hpotdd126.log 24.06.2006 14:24 136 hpotdd125.log 24.06.2006 14:24 16.384 ~DF4C65.tmp 23.06.2006 23:13 16.384 ~DF7258.tmp 23.06.2006 23:13 136 hpotdd124.log 23.06.2006 18:35 136 hpotdd123.log 23.06.2006 11:21 16.384 ~DF1129.tmp 23.06.2006 11:21 136 hpotdd122.log 22.06.2006 22:30 136 hpotdd121.log 22.06.2006 22:30 16.384 ~DF8227.tmp 22.06.2006 21:12 16.384 ~DFFC28.tmp 22.06.2006 21:12 136 hpotdd120.log 22.06.2006 21:11 0 CacheInfo.dnl 22.06.2006 11:11 136 hpotdd119.log 22.06.2006 08:08 136 hpotdd118.log 22.06.2006 08:08 16.384 ~DF5BB9.tmp 21.06.2006 23:12 16.384 ~DFFC60.tmp 21.06.2006 23:12 136 hpotdd117.log 21.06.2006 10:17 136 hpotdd116.log 21.06.2006 10:17 16.384 ~DFFE3D.tmp 21.06.2006 08:08 136 hpotdd115.log 21.06.2006 08:08 16.384 ~DF5D9A.tmp Verzeichnis von C:\WINDOWS 03.07.2006 16:11 1.177.816 WindowsUpdate.log 03.07.2006 16:04 0 0.log 03.07.2006 16:04 159 wiadebug.log 03.07.2006 16:04 2.048 bootstat.dat 03.07.2006 12:49 32.622 SchedLgU.Txt 03.07.2006 12:49 50 wiaservc.log 03.07.2006 12:47 1.896.504 setupapi.log 27.06.2006 21:09 175.959 setupact.log 14.06.2006 08:34 6.096 ModemLog_Bluetooth Fax Modem.txt 09.06.2006 18:15 387 system.ini 27.05.2006 20:52 2.014 ModemLog_Siemens Mobile Phone USB Modem.txt 10.03.2006 16:25 65.536 DUMPff07.tmp 04.03.2006 15:41 244.929 iis6.log 04.03.2006 15:41 68.137 comsetup.log 04.03.2006 15:41 41.066 ntdtcsetup.log 04.03.2006 15:41 7.077 ocmsn.log 04.03.2006 15:41 88.506 tsoc.log 04.03.2006 15:41 104.555 ocgen.log 04.03.2006 15:41 6.206 tabletoc.log 04.03.2006 15:41 1.891 imsins.log 04.03.2006 15:41 22.678 netfxocm.log 04.03.2006 15:41 9.252 msgsocm.log 04.03.2006 15:41 166.591 FaxSetup.log 04.03.2006 15:39 62.070 msmqinst.log Verzeichnis von C:\ 03.07.2006 16:15 0 sys.txt 03.07.2006 16:15 9.331 windows.txt 03.07.2006 16:15 9.331 system.txt 03.07.2006 16:14 4.539 temp.txt 03.07.2006 16:14 4.539 systemtemp.txt 03.07.2006 16:14 112.181 system32.txt 03.07.2006 16:04 805.306.368 pagefile.sys 03.07.2006 12:12 720.534 hpfr3600.log 27.05.2006 20:31 175.700 SDSSetup.log 29.04.2006 22:48 495 stub.log 08.12.2005 02:13 13.312 Thumbs.db |
|
|
||
03.07.2006, 19:31
Ehrenmitglied
Beiträge: 29434 |
#6
1.
CleanUp anwenden + PC neustarten muss leer sein: Verzeichnis von C:\DOKUME~1\Marlene\LOKALE~1\Temp http://virus-protect.org/cleanup.html 2. poste bitte noch hier das log vom Silentrunner, dann beginnt die reinigung http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 20:57
Member
Themenstarter Beiträge: 13 |
#7
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] "ares" = ""C:\Programme\Ares Lite Edition\Ares.exe" -h" [file not found] "MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [file not found] "Win32" = "msnsrv.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "wininet.dll" = "regperf.exe" [null data] "dcomcfg.exe" = "dcomcfg.exe" [null data] "kernel32.dll" = "C:\WINDOWS\System32\atmclk.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Anvshell" = "C:\WINDOWS\Anvshell.exe" ["AsusTeK Computer Inc."] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"] "TCASUTIEXE" = "TCAUDIAG.exe -on" [empty string] "ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data] "websx" = "C:\Programme\websx\int113779.exe -auto" [file not found] "WinPatrol" = ""C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"" [file not found] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data] "HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] "DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe"" [file not found] "Ikarus-AutoUpdate" = "C:\WINDOWS\System32\IKAutoUp.exe /LOG" ["Ikarus Software Wien"] "Siemens SmartSync - ScheduleSync" = "C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [empty string] "Guard NT" = "C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN" ["Ikarus Software Wien"] "Win32" = "msnsrv.exe" [null data] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {5f4c3d09-b3b9-4f88-aa82-31332fee1c08}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\hp100.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found] Ich hoffe, alles richtig gemacht zu haben. ;-) |
|
|
||
03.07.2006, 23:02
Ehrenmitglied
Beiträge: 29434 |
#8
noch einmal, bitte: Die Option "Supplementary Searches" wählen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.07.2006, 07:40
Member
Themenstarter Beiträge: 13 |
#9
hier bitte:
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] "ares" = ""C:\Programme\Ares Lite Edition\Ares.exe" -h" [file not found] "MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [file not found] "Win32" = "msnsrv.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "wininet.dll" = "regperf.exe" [null data] "dcomcfg.exe" = "dcomcfg.exe" [null data] "kernel32.dll" = "C:\WINDOWS\System32\atmclk.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Anvshell" = "C:\WINDOWS\Anvshell.exe" ["AsusTeK Computer Inc."] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"] "TCASUTIEXE" = "TCAUDIAG.exe -on" [empty string] "ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data] "websx" = "C:\Programme\websx\int113779.exe -auto" [file not found] "WinPatrol" = ""C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"" [file not found] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data] "HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] "DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe"" [file not found] "Ikarus-AutoUpdate" = "C:\WINDOWS\System32\IKAutoUp.exe /LOG" ["Ikarus Software Wien"] "Siemens SmartSync - ScheduleSync" = "C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [empty string] "Guard NT" = "C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN" ["Ikarus Software Wien"] "Win32" = "msnsrv.exe" [null data] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {5f4c3d09-b3b9-4f88-aa82-31332fee1c08}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\hp100.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {HKLM...CLSID} = "Desktop-Explorer" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{57C51AF9-DEF7-11D3-A801-00C04F163490}" = "Ghost Shell Extension" -> {HKLM...CLSID} = "PropPage Class" \InProcServer32\(Default) = "C:\Programme\Symantec\Norton Ghost 2002\GhoShExt.dll" ["Symantec Corporation"] "{C56C4E21-706D-11d0-AFC5-444553540002}" = "Meine Digitalkamera" -> {HKLM...CLSID} = "Meine Digitalkamera" \InProcServer32\(Default) = "C:\Programme\PhotoDeluxe HE 3.1\FotoNation Explorer\camview.dll" ["FotoNation Inc."] "{ED65AC21-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device" -> {HKLM...CLSID} = "Siemens Device" \InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"] "{ED65AC22-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device ContextMenuHandler" -> {HKLM...CLSID} = "Siemens Device ContextMenuHandler" \InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"] "{ED65AC23-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens SX1 PropertySheetHandler" -> {HKLM...CLSID} = "Siemens Device PropertySheetHandler" \InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"] "{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places" -> {HKLM...CLSID} = "Bluetooth-Umgebung" \InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" ["WIDCOMM, Inc."] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ INFECTION WARNING! "{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}" = "adelges" -> {HKCU...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\tnvocyn.dll" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Default executables: -------------------- INFECTION WARNING! HKLM\Software\Classes\scrfile\shell\open\command\(Default) = ""%1" /S "%3"" [file not found] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Marlene" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] "InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string] "BTTray" -> shortcut to: "C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe" ["WIDCOMM, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" -> {HKLM...CLSID} = "MSN Toolbar" \InProcServer32\(Default) = "C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll" [file not found] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0" -> {HKLM...CLSID} = "MSN Toolbar" \InProcServer32\(Default) = "C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll" [file not found] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {CCA281CA-C863-46EF-9331-5C8D4460577F}\ "ButtonText" = "@btrez.dll,-4015" "MenuText" = "@btrez.dll,-4017" "Script" = "C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm" [null data] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Bluetooth Service, btwdins, "C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe" ["WIDCOMM, Inc."] Guard NT, Guard NT, "C:\Programme\aon\aonVirenchecker\GuardNT\guardNt.exe /DAVE" ["Ikarus Software Wien"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt08\Driver = "hpzsnt08.dll" ["HP"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 77 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 17 seconds. ---------- (total run time: 345 seconds) |
|
|
||
04.07.2006, 15:01
Ehrenmitglied
Beiträge: 29434 |
#10
skye
1. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint ** 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"--> PC neustarten Zitat R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklmPC neustarten 4. arbeite smitfraud.fix ab und poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html 5. desinstallieren- loesche:...wenn es nicht unbedingt erwuenscht ist.... C:\Programme\websx 6. neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 7. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 8. F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport -------------------------------------------------------------------- "Win32" = "msnsrv.exe" [null data] ?????????????????????????????????????? Datei: msnsrv.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PESPIN AntiVir Worm/SdBot.56320.31 gefunden ArcaVir Trojan.Sdbot.Xd gefunden Avast Keine Viren gefunden AVG Antivirus IRC/BackDoor.SdBot.WHF gefunden BitDefender Backdoor.SDBot.ALP gefunden ClamAV Keine Viren gefunden Dr.Web BackDoor.IRC.Sdbot.based gefunden F-Prot Antivirus W32/Sdbot.OMD gefunden Fortinet W32/SDBot.X!bdr gefunden Kaspersky Anti-Virus Backdoor.Win32.SdBot.xd gefunden NOD32 a variant of IRC/SdBot gefunden Norman Virus Control W32/SDBot.YLH gefunden UNA Keine Viren gefunden VBA32 Backdoor.Win32.SdBot.xd gefunden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.07.2006, 16:20
Member
Themenstarter Beiträge: 13 |
#11
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\orbwgqkt ******************* Script file located at: \??\C:\Program Files\kdaincgy.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file C:\Programme\websx\int113779.exe for deletion Deletion of file C:\Programme\websx\int113779.exe failed! Could not process line: C:\Programme\websx\int113779.exe Status: 0xc000003a File C:\WINDOWS\system32\msnsrv.exe deleted successfully. File C:\WINDOWS\msnsrv.exe not found! Deletion of file C:\WINDOWS\msnsrv.exe failed! Could not process line: C:\WINDOWS\msnsrv.exe Status: 0xc0000034 File C:\WINDOWS\system32\stdole3.tlb deleted successfully. File C:\WINDOWS\system32\simpole.tlb deleted successfully. File C:\WINDOWS\system32\atmclk.exe deleted successfully. File C:\WINDOWS\system32\ot.ico deleted successfully. File C:\WINDOWS\system32\tnvocyn.dll deleted successfully. File C:\WINDOWS\system32\ts.ico deleted successfully. File C:\WINDOWS\system32\dcomcfg.exe deleted successfully. File C:\WINDOWS\system32\ismon.exe deleted successfully. File C:\WINDOWS\system32\ishost.exe deleted successfully. File C:\WINDOWS\system32\regperf.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
04.07.2006, 16:25
Ehrenmitglied
Beiträge: 29434 |
#12
nun poste die beiden reporte vom smitfraud.fix - und arbeite alles weitere ab
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.07.2006, 16:32
Member
Themenstarter Beiträge: 13 |
#13
Bericht 1:
SmitFraudFix v2.67 Scan done at 16:31:19,98, 04.07.2006 Run from C:\Dokumente und Einstellungen\Marlene\Eigene Dateien\Unzipped\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\ld???.tmp FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\mscornet.exe FOUND ! C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marlene\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\MARLENE\FAVORI~1 C:\DOKUME~1\MARLENE\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\DESKTOP\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\DESKTOP\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\SpyQuake2.com\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}"="adelges" [HKEY_CLASSES_ROOT\CLSID\{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}\InProcServer32] @="C:\WINDOWS\System32\tnvocyn.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}\InProcServer32] @="C:\WINDOWS\System32\tnvocyn.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
04.07.2006, 18:13
Ehrenmitglied
Beiträge: 29434 |
#14
Information:
http://virus-protect.org/artikel/spyware/spyquake2.html ------------------------------------------------------------------- 1. nun musst du mit option 2 das auch loeschen lassen ! 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.07.2006, 19:07
Member
Themenstarter Beiträge: 13 |
#15
Liebe Sabina!
Hier der Text von neu.bat: Datentr„ger in Laufwerk C: ist PROGRAMME Volumeseriennummer: 7877-D03F Verzeichnis von C:\WINDOWS\system32\components 23.06.2006 22:11 <DIR> . 23.06.2006 22:11 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 19.302.088.704 Bytes frei Datentr„ger in Laufwerk C: ist PROGRAMME Volumeseriennummer: 7877-D03F Verzeichnis von C:\Programme 19.12.2003 21:43 <DIR> . 19.12.2003 21:43 <DIR> .. 19.12.2003 21:43 <DIR> Gemeinsame Dateien 20.12.2003 01:56 <DIR> Windows NT 20.12.2003 01:56 <DIR> MSN Gaming Zone 20.12.2003 01:56 <DIR> MSN 20.12.2003 01:56 <DIR> Online Services 20.12.2003 01:57 <DIR> ComPlus Applications 20.12.2003 01:57 <DIR> Internet Explorer 20.12.2003 01:57 <DIR> Outlook Express 20.12.2003 01:57 <DIR> NetMeeting 20.12.2003 01:57 <DIR> Windows Media Player 20.12.2003 01:58 <DIR> Movie Maker 20.12.2003 01:58 <DIR> Online-Dienste 20.12.2003 01:59 <DIR> microsoft frontpage 20.12.2003 01:59 <DIR> xerox 20.12.2003 02:53 <DIR> ASUS 20.12.2003 03:14 <DIR> Trend Micro 20.12.2003 03:15 <DIR> Adobe 20.12.2003 03:15 <DIR> ASUS Features 20.12.2003 03:22 <DIR> ASUSTek 20.12.2003 03:22 <DIR> CyberLink 20.12.2003 03:26 <DIR> Ahead 21.12.2003 01:58 <DIR> Pegasus 21.12.2003 02:00 <DIR> Lavasoft 21.12.2003 02:04 <DIR> Crazy Browser 21.12.2003 23:04 <DIR> Java 21.12.2003 23:06 <DIR> Microsoft Office 21.12.2003 23:13 <DIR> Microsoft Visual Studio 22.12.2003 01:04 <DIR> DaViDeo VCD SE 22.12.2003 01:05 <DIR> Symantec 22.12.2003 01:22 <DIR> Paint Shop Pro 5 22.12.2003 02:48 <DIR> InterVideo 26.12.2003 21:16 <DIR> Hewlett-Packard 27.12.2003 15:16 <DIR> ICQ 12.03.2006 11:24 1.278 INSTALL.LOG 28.12.2003 21:22 <DIR> Red Storm Entertainment 02.01.2004 20:26 <DIR> Logitech 03.01.2004 12:49 <DIR> WinMX(2) 01.02.2004 15:41 <DIR> BillP Studios 01.02.2004 15:42 <DIR> Alwil Software 01.02.2004 17:42 <DIR> MSXML 4.0 01.02.2004 17:52 <DIR> Common Files 01.02.2004 18:42 <DIR> Adobe Type Manager 01.02.2004 18:57 <DIR> PhotoDeluxe HE 3.1 01.02.2004 20:08 <DIR> Sygate 28.02.2004 20:04 <DIR> directx 29.02.2004 18:35 <DIR> RW_Easy01 10.04.2004 16:09 <DIR> QuickTime 24.04.2004 17:55 <DIR> Microsoft Nachschlagewerke 17.05.2004 19:28 <DIR> 0190 Warner 21.05.2004 22:23 <DIR> LucasArts 03.07.2004 23:19 <DIR> Rockstar Games 16.08.2004 13:30 <DIR> SkillSpace 08.09.2004 21:21 <DIR> WildTangent 14.11.2004 12:40 <DIR> ubi.com 01.12.2004 12:33 <DIR> Yahoo! 04.12.2004 20:27 <DIR> Real 03.01.2005 10:02 <DIR> AVPersonal 23.01.2005 21:50 <DIR> a2 04.03.2005 22:45 <DIR> Kazaa 04.03.2005 22:47 <DIR> INSTAFINK 18.03.2005 22:48 <DIR> Ares Lite Edition 18.03.2005 23:11 <DIR> StreamCast 20.03.2005 11:29 <DIR> MSN Apps 26.03.2005 16:31 <DIR> WIDCOMM 19.06.2005 09:41 <DIR> ICQLite 19.06.2005 09:42 <DIR> ICQToolbar 26.06.2005 19:54 <DIR> Oberon Media 08.07.2005 22:02 <DIR> aon 09.07.2005 20:36 <DIR> Haus Wohnung Garten 2005 19.07.2005 20:50 <DIR> Microsoft Games 08.12.2005 20:38 <DIR> ICRAplus 09.12.2005 17:19 <DIR> GameHouse 07.01.2006 19:47 <DIR> WinZip 11.01.2006 22:44 <DIR> THQ 09.04.2006 19:44 <DIR> Google 25.05.2006 10:35 <DIR> Zylom Games 27.05.2006 20:25 <DIR> Mobile Phone Manager 18.06.2006 15:55 <DIR> BoontyGames 03.07.2006 11:52 <DIR> CleanUp! 1 Datei(en) 1.278 Bytes 80 Verzeichnis(se), 19.302.088.704 Bytes frei spyfalcon.reg habe ich durchgeführt und die anderen Punkte auch. Leider ist mir mein PC abgestürzt als ich gerade den 2. smitfraud Bericht losschicken wollte. Bei f-secure wurden 65 maleware und 2 viren gefunden. Habe alle entfernt, aber mein Browser hat mir den Report dann nicht geöffnet. Dafür erscheint mittlerweile keine Spyware-Warnung mehr in der Taskleiste. Was ja leider nicht bedeutet, dass der Virus jetzt weg ist... Auf jeden Fall DANKE für alles. Warte auf weitere Instruktionen. *bg* Lg |
|
|
||
Ich habe auch seit eben Probleme mit SpywareQuake, nachdem ich meinen Internetprovider gewechselt habe und die Firewall kurzfristig öffnen musste. Leider kann mein Virenprogramm diesen Virus nicht entfernen und ich bin absoluter Neuling, was diese ganzen log-Sachen angeht.
Kann mir bitte jemand Schritt für Schritt und verständlich sagen, wie ich das Problem lösen kann?
Vielen Dank,
Marlene
PS: Hab mir auf jeden Fall dieses hijackthis mal runtergeladen und den log kopiert:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\aon\aonVirenchecker\GuardNT\guardNt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\TCAUDIAG.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\IKAutoUp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\AVPersonal\Notifier.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Marlene\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\System32\hp100.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll (file missing)
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int113779.exe -auto
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe"
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\System32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Guard NT] C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares Lite Edition\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://213.158.119.18/jugle/loud.chm::/bridge-c18.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game17.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://www.wella.de/consumer/salon_products/kp/farbberatungk/koleston3/setup.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp03.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9E2ABE4-A016-4A93-AA7E-792853C89FCB}: NameServer = 172.27.2.10 172.27.1.1
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\aon\aonVirenchecker\GuardNT\guardNt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
[/b]