notfall browser stürzt ab wegen virus |
||
---|---|---|
#0
| ||
21.07.2006, 19:50
Member
Beiträge: 35 |
||
|
||
21.07.2006, 22:50
Ehrenmitglied
Beiträge: 29434 |
#2
weinfurtnert
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten http://virus-protect.org/cleanup.html ----------------------------------------------------------------- 1. smitfraudfix abarbeiten (option 1 und 2) - lasse auch die registry mitreinigen http://virus-protect.org/artikel/tools/smitfrautfix.html (poste bitte die scanreporte) 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.07.2006, 09:35
Member
Themenstarter Beiträge: 35 |
#3
SmitFraudFix v2.74
Scan done at 9:22:40,04, 22.07.2006 Run from C:\Dokumente und Einstellungen\Thomas\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\Programme\Malware-Wipe\ Deleted Problem while deleting C:\Programme\Media-Codec\ »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Reboot C:\Programme\Media-Codec Deleted »»»»»»»»»»»»»»»»»»»»»»»» End listen.bat report: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\WINDOWS\system32 Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.04.2006 17:10 135.168 asinst.dll 03.04.2006 11:00 537 asinst.inf 03.12.2003 11:02 56.320 AVSKeyX.dll 03.12.2003 11:35 497 AVSKEYX.osd 16.03.2006 16:58 231.072 avsniff.dll 16.03.2006 16:56 878 avsniff.inf 16.03.2006 16:58 198.304 avsniffdlgs.dll 16.03.2006 16:52 537.704 AXXPEE.dll 16.03.2006 16:56 241 CabSA.inf 12.04.2006 01:00 2.390 catalog.dat 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 12.04.2006 01:00 6.899 ecbootil.vxd 16.03.2006 16:52 42.112 ecmldr32.dll 12.04.2006 01:00 288.424 ecmsvr32.dll 21.09.2005 16:11 1.124.872 EPUWALcontrol.dll 09.02.2005 16:54 1.271 erma.inf 16.06.2004 06:02 323.584 isusweb.dll 20.06.2003 07:12 728 jinstall-1_4_2.inf 16.05.2006 16:30 236 KingComIE.inf 13.09.2005 10:33 402.952 Midasa.dll 01.09.2005 11:26 341 midasa.inf 16.03.2006 16:54 6.850 navapi.vxd 16.03.2006 16:54 201.896 navapi32.dll 12.04.2006 01:00 124.584 naveng32.dll 12.04.2006 01:00 837.288 navex32a.dll 10.08.2004 11:10 770.048 px_client.ocx 03.06.2004 10:04 524.445 RdxIE.dll 16.03.2006 16:58 161.480 rufsi.dll 12.04.2006 01:00 97.440 scrauth.dat 27.08.2005 14:30 5.065 swflash.inf 12.04.2006 01:00 8.145 symaveng.cat 12.04.2006 01:00 901 symaveng.inf 12.04.2006 01:00 45.988 tcdefs.dat 12.04.2006 01:00 706.379 tcscan7.dat 12.04.2006 01:00 286.186 tcscan8.dat 12.04.2006 01:00 564.664 tcscan9.dat 12.04.2006 01:00 453 tinf.dat 12.04.2006 01:00 148 tinfidx.dat 12.04.2006 01:00 1.957 tinfl.dat 12.04.2006 01:00 53.297 tscan1.dat 12.04.2006 01:00 1.237 tscan1hd.dat 12.04.2006 01:00 5.516 v.grd 12.04.2006 01:00 2.256 v.sig 12.04.2006 01:00 106.244 virscan.inf 12.04.2006 01:00 948.450 virscan1.dat 12.04.2006 01:00 561.178 virscan2.dat 12.04.2006 01:00 145.676 virscan3.dat 12.04.2006 01:00 320.086 virscan4.dat 12.04.2006 01:00 2.294.934 virscan5.dat 12.04.2006 01:00 388.320 virscan6.dat 12.04.2006 01:00 3.351.418 virscan7.dat 12.04.2006 01:00 1.521.327 virscan8.dat 12.04.2006 01:00 3.163.397 virscan9.dat 12.04.2006 01:00 32 virscant.dat 15.04.2006 13:32 2.072 vscanmsx.dat 26.05.2005 05:19 291 wuweb.inf 12.04.2006 01:00 224 zdone.dat 58 Datei(en) 20.785.586 Bytes 0 Verzeichnis(se), 144.941.338.624 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\Programme Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp 22.07.2006 09:29 <DIR> . 22.07.2006 09:29 <DIR> .. 22.07.2006 09:29 <DIR> IncrediMail 14.04.2002 07:57 4.731 Rtscan.ini 22.07.2006 09:28 408 WCESCOMM.LOG 22.07.2006 09:29 81.920 ~DF3D71.tmp 22.07.2006 09:28 16.384 ~DFD709.tmp 4 Datei(en) 103.443 Bytes 3 Verzeichnis(se), 144.941.338.624 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\WINDOWS\Temp 22.07.2006 09:30 <DIR> . 22.07.2006 09:30 <DIR> .. 22.07.2006 09:28 16.384 Perflib_Perfdata_15c.dat 14.04.2002 07:57 4.731 Rtscan.ini 2 Datei(en) 21.115 Bytes 2 Verzeichnis(se), 144.941.334.528 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\Temp 22.07.2006 09:13 <DIR> . 22.07.2006 09:13 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 144.941.334.528 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 edit (Sabina) Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten 30.05.2005 08:27 <DIR> Adobe 30.10.2005 14:27 <DIR> Ahead 17.03.2006 00:39 <DIR> Apple Computer 30.05.2006 07:35 <DIR> ApplicationHistory 10.07.2006 23:36 246.784 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 18.01.2006 19:16 <DIR> Electronic Arts 16.02.2006 16:24 <DIR> FRITZ! 28.05.2005 12:40 139 fusioncache.dat 13.01.2006 05:41 <DIR> GBelectronics 03.06.2006 01:33 179.400 GDIPFONTCACHEV1.DAT 28.06.2006 10:14 <DIR> Google 25.01.2006 04:22 <DIR> Help 24.08.2005 09:06 <DIR> Identities 03.08.2005 13:57 <DIR> IM 13.05.2006 10:00 <DIR> king.com 11.11.2005 17:57 <DIR> Microsoft 30.01.2006 23:40 <DIR> Sony Ericsson 15.04.2006 16:01 <DIR> Sunbelt Software 25.01.2006 01:56 <DIR> Yahoo 18.01.2006 17:09 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142060} 3 Datei(en) 426.323 Bytes 17 Verzeichnis(se), 144.941.330.432 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten 30.01.2006 23:29 <DIR> Adobe 16.12.2005 01:07 <DIR> AdobeUM 07.03.2006 11:24 <DIR> Ahead 08.03.2006 11:38 <DIR> Apple Computer 22.01.2006 14:09 <DIR> BHV 10.04.2006 22:04 <DIR> Buhl Data Service GmbH 01.10.2005 21:02 <DIR> CD-LabelPrint 29.04.2006 09:20 <DIR> Cherry 12.07.2005 11:01 <DIR> CokeFridge Radioplayer 19.11.2005 10:55 <DIR> CyberLink 05.08.2005 12:18 <DIR> FileMaker 04.03.2006 23:21 <DIR> freenet iPhone 18.02.2006 13:11 <DIR> FRITZ! 20.09.2005 07:58 <DIR> Google 28.05.2005 21:19 <DIR> Help 06.07.2005 18:51 <DIR> Hemera 20.05.2005 13:58 <DIR> Identities 29.05.2005 15:29 <DIR> Image Zone Express 07.06.2005 22:48 <DIR> InterVideo 31.10.2005 08:52 <DIR> Lavasoft 03.12.2005 11:34 <DIR> Leadertech 10.06.2005 15:47 <DIR> Macromedia 12.03.2006 15:32 <DIR> MAGIX 16.08.2005 15:04 <DIR> MobileAction 14.11.2005 11:17 <DIR> Pinnacle Systems 27.11.2005 18:37 <DIR> Real 30.01.2006 23:38 <DIR> Sony Ericsson 02.07.2006 23:12 <DIR> Sprite PC Agent 30.06.2005 11:08 <DIR> Sun 30.01.2006 23:01 <DIR> Teleca 03.06.2006 00:33 <DIR> TerraTec 19.03.2006 16:28 <DIR> Ulead Systems 26.12.2005 16:19 <DIR> Webroot 0 Datei(en) 0 Bytes 33 Verzeichnis(se), 144.941.326.336 Bytes frei Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C74-ED29 Verzeichnis von C:\Programme\Gemeinsame Dateien 16.06.2006 12:47 <DIR> . 16.06.2006 12:47 <DIR> .. 20.05.2005 14:13 <DIR> Adobe 07.12.2005 22:16 <DIR> Ahead 10.04.2006 21:22 <DIR> BDElster 30.05.2006 07:33 <DIR> Buhl Data Service 29.04.2006 09:13 <DIR> Cherry 28.05.2005 15:47 <DIR> DESIGNER 20.05.2005 13:53 <DIR> Dienste 15.03.2006 18:06 <DIR> GBelectronics Shared 16.06.2006 12:47 <DIR> GIS 29.05.2005 14:18 <DIR> HP 16.06.2005 10:35 <DIR> InstallShield 30.06.2005 11:06 <DIR> Java 13.05.2006 10:00 <DIR> king.com 25.08.2005 01:39 <DIR> MAGIX Shared 16.06.2006 12:47 <DIR> MapServ 14.05.2006 14:52 <DIR> Microsoft Shared 20.05.2005 13:53 <DIR> MSSoap 04.08.2005 12:39 <DIR> Oberon Media 14.05.2006 14:51 <DIR> ODBC 23.07.2005 17:39 <DIR> Real 16.06.2005 10:40 <DIR> SONY Digital Images 20.05.2005 14:48 <DIR> SpeechEngines 28.05.2005 15:47 <DIR> System 15.02.2006 20:17 <DIR> Teleca Shared 03.06.2006 00:21 <DIR> TerraTec 16.06.2005 10:41 <DIR> Ulead Systems 26.12.2005 16:19 <DIR> Webroot Shared 23.07.2005 17:39 <DIR> xing shared 0 Datei(en) 0 Bytes 30 Verzeichnis(se), 144.941.326.336 Bytes frei datfindbat report 21.07.2006 19:19 2.550 Uninstall.ico 21.07.2006 19:19 1.406 Help.ico 21.07.2006 19:19 30.590 pavas.ico 18.07.2006 16:01 13.938 kbdpl132.dll 07.07.2006 16:59 208.896 WRLogonNtf.dll 07.07.2006 16:59 8.704 ssiefr.EXE 07.07.2006 16:59 20.992 wrlzma.dll 04.06.2006 15:21 1.158 wpa.dbl 30.05.2006 07:41 520.928 FNTCACHE.DAT 29.05.2006 12:02 45.056 CompiledAdapter 16.05.2006 07:41 27 mcheck.mhf 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 29.03.2006 15:18 8.224 GDIPFONTCACHEV1.DAT 26.03.2006 23:37 420.836 perfh009.dat 26.03.2006 23:37 81.172 perfc007.dat 26.03.2006 23:37 432.624 perfh007.dat 26.03.2006 23:37 69.900 perfc009.dat 26.03.2006 23:37 1.016.924 PerfStringBackup.INI 14.02.2006 10:20 550.120 LegitCheckControl.dll 13.02.2006 20:03 8.632 spmsg.dll 26.01.2006 10:48 15.360 BASSMOD.dll 25.01.2006 03:35 200.704 libssl32.dll 19.01.2006 17:10 7.006 jupdate-1.5.0_06-b05.log 18.01.2006 17:09 3.243 jupdate-1.4.2_06-b03.log 14.01.2006 08:54 23.392 nscompat.tlb 14.01.2006 08:54 16.832 amcompat.tlb 08.12.2005 14:56 65.536 QuickTimeVR.qtx 08.12.2005 14:56 49.152 QuickTime.qts 20.11.2005 17:12 552 d3d8caps.dat 10.11.2005 14:03 49.265 jpicpl32.cpl 10.11.2005 12:27 49.250 javaw.exe 10.11.2005 12:27 49.248 java.exe 03.11.2005 12:50 200.704 ssleay32.dll 03.11.2005 12:50 1.064.960 libeay32.dll 03.11.2005 10:43 0 asfiles.txt 03.11.2005 10:40 1.718 Open.ico 03.11.2005 10:40 1.406 AddQuit.ico 03.11.2005 10:40 5.350 IE.ico 03.11.2005 10:40 9.470 Desktop.ico 03.11.2005 10:40 1.718 Quick.ico 01.11.2005 14:19 7.314.334 WinTemp20584.exe 01.11.2005 14:19 105 MSRunningDLL.exe.bat 01.11.2005 14:19 51.733 plugin1.dat 24.10.2005 15:20 82.432 msxml4r.dll 24.10.2005 15:20 1.233.920 msxml4.dll 24.10.2005 15:20 44.544 msxml4a.dll |
|
|
||
22.07.2006, 12:11
Ehrenmitglied
Beiträge: 29434 |
#4
weinfurtnert
1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 2. öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankPC neustarten 3. mache einen Onlinescan mit ewido und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.07.2006, 14:10
Member
Themenstarter Beiträge: 35 |
#5
__________________________________________________
ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ivwbox[1].txt Risk: Medium Name: Adware.Generic Path: HKU\S-1-5-21-1906362370-3587733247-3442554471-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5753791B-F607-48CA-814E-91C14D081F9E} Risk: Medium Name: Downloader.Small.cgu Path: C:\avenger\backup.zip/avenger/kbdpl132.dll Risk: High Name: Adware.SearchAssistant Path: C:\Program Files\PestTrap\heur000.dll Risk: Medium Name: Adware.Casino Path: M:\T-Mobile MDA\PDA Pocket Pc -250_Games -MDAII_O2_QTEK\An Easy To Learn Blackjack System(PC) (Ebook Pdf).rar/BlackJack.exe Risk: Medium |
|
|
||
22.07.2006, 15:05
Ehrenmitglied
Beiträge: 29434 |
#6
alles, was du bisher gepostet hast, wird wieder erscheinen...kopiere nur diesen Teil ab:
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.07.2006, 15:21
Member
Themenstarter Beiträge: 35 |
#7
Verzeichnis von C:\Program Files\PestTrap
21.07.2006 17:01 <DIR> . 21.07.2006 17:01 <DIR> .. 21.07.2006 17:01 410.880 base.avd 21.07.2006 17:01 268 base001.avd 21.07.2006 17:01 25.778 base002.avd 21.07.2006 17:01 7.304 found.wav 21.07.2006 17:01 124.928 heur000.dll 21.07.2006 17:01 126.464 heur001.dll 21.07.2006 17:01 21.126 notfound.wav 21.07.2006 17:01 100 PestTrap.dvm 21.07.2006 17:01 18.132 removed.wav 21.07.2006 17:01 36.864 Uninstall.exe 10 Datei(en) 771.844 Bytes 2 Verzeichnis(se), 144.917.176.320 Bytes frei |
|
|
||
22.07.2006, 15:29
Ehrenmitglied
Beiträge: 29434 |
#8
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) PestTrap in edit und klicke "Ok"..Notepad wird sich oeffnen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.07.2006, 15:35
Member
Themenstarter Beiträge: 35 |
#9
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 22.07.2006 15:33:32 for strings: ; 'pesttrap' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... |
|
|
||
22.07.2006, 16:54
Ehrenmitglied
Beiträge: 29434 |
#10
Avenger
Zitat registry keys to delete:** poste den report vom avenger ** C:\avenger\backup.zip <-loeschen C:\Program Files\PestTrap <-loeschen ---------------------------------------------------------------- dann berichte, wie es so laeuft __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 01:54
Member
Themenstarter Beiträge: 35 |
#11
hallo,habe leider vergessen das avenger report zu speichern.
habe jetzt nochmal ewido scan gmacht und ist sauber. mit pc passt auch wieder alles glaube ich. ist schon um einiges wieder schneller. hier der scan _________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ivwbox[2].txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@komtrack[2].txt Risk: Medium Name: Adware.Casino Path: M:\T-Mobile MDA\PDA Pocket Pc -250_Games -MDAII_O2_QTEK\An Easy To Learn Blackjack System(PC) (Ebook Pdf).rar/BlackJack.exe Risk: Medium |
|
|
||
23.07.2006, 11:53
Ehrenmitglied
Beiträge: 29434 |
#12
poste das log von winpfind :
http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 12:08
Member
Themenstarter Beiträge: 35 |
#13
hallo, hier das logfile von winpfind
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600 Internet Explorer Version: 6.0.2900.2180 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... UPX! 12.12.2003 01:52:36 278668 C:\WINDOWS\epsuninst.exe UPX! 25.07.2005 02:04:32 57344 C:\WINDOWS\Unwash6.exe Checking %System% folder... PEC2 10.08.2004 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc UPX! 19.07.2002 13:08:14 182784 C:\WINDOWS\SYSTEM32\DGVorbis.dll UPX! 10.09.2003 22:48:56 83456 C:\WINDOWS\SYSTEM32\EHelperA.dll UPX! 01.08.2005 09:10:46 140800 C:\WINDOWS\SYSTEM32\lame_enc.dll PTech 14.02.2006 10:20:14 550120 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll aspack 10.08.2004 14:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll Umonitor 10.08.2004 14:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll winsync 10.08.2004 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 22.07.2006 17:16:18 S 2048 C:\WINDOWS\bootstat.dat 18.07.2006 15:27:16 H 54156 C:\WINDOWS\QTFont.qfn 22.07.2006 18:39:40 H 1024 C:\WINDOWS\system32\config\default.LOG 22.07.2006 17:16:24 H 1024 C:\WINDOWS\system32\config\SAM.LOG 23.07.2006 09:16:34 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 23.07.2006 12:02:52 H 1024 C:\WINDOWS\system32\config\software.LOG 22.07.2006 18:08:02 H 1024 C:\WINDOWS\system32\config\system.LOG 15.07.2006 02:15:40 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\b70004ee-932c-4d3c-bc4a-97a1d8d6cb77 15.07.2006 02:15:40 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred 26.05.2006 18:43:52 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\0252d6ea-ccec-4c6a-ae61-7b4027bbd230 26.05.2006 18:43:52 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred 22.07.2006 17:16:26 H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 10.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\access.cpl Realtek Semiconductor Corp. 24.03.2005 22:10:48 R 17899520 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL Microsoft Corporation 10.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 10.08.2004 14:00:00 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl Microsoft Corporation 10.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 10.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\firewall.cpl Microsoft Corporation 10.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 10.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 10.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 10.08.2004 14:00:00 381440 C:\WINDOWS\SYSTEM32\irprops.cpl Microsoft Corporation 10.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\joy.cpl Sun Microsystems, Inc. 10.11.2005 14:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl Microsoft Corporation 10.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl AvantGo, Inc. 22.12.2003 03:28:00 69632 C:\WINDOWS\SYSTEM32\mbllnk.cpl Microsoft Corporation 10.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl Presenter, Inc. 13.08.2001 12:11:48 41054 C:\WINDOWS\SYSTEM32\MobileConvertCPL.cpl Microsoft Corporation 10.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Ahead Software AG 09.10.2002 13:36:14 57344 C:\WINDOWS\SYSTEM32\NeroBurnRights.cpl Microsoft Corporation 10.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl Microsoft Corporation 10.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 10.08.2004 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl Microsoft Corporation 10.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl 30.07.1998 13:44:02 14336 C:\WINDOWS\SYSTEM32\pmxusb.cpl 11.06.2001 01:54:00 32768 C:\WINDOWS\SYSTEM32\PocketSlidesExportOptions.cpl Microsoft Corporation 10.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 10.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 10.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 10.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 10.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\wscui.cpl Microsoft Corporation 26.05.2005 05:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 10.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl Microsoft Corporation 10.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl Microsoft Corporation 10.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl Microsoft Corporation 10.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl Microsoft Corporation 10.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl Microsoft Corporation 10.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl Microsoft Corporation 10.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl Microsoft Corporation 10.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl Microsoft Corporation 10.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 10.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl Microsoft Corporation 10.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 10.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl Microsoft Corporation 10.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl Microsoft Corporation 10.08.2004 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 10.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl Microsoft Corporation 10.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl Microsoft Corporation 10.08.2004 14:00:00 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl Microsoft Corporation 10.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl Microsoft Corporation 10.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl Microsoft Corporation 10.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl Microsoft Corporation 10.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl Microsoft Corporation 26.05.2005 05:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 24.12.2005 16:56:08 HS 77 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 20.05.2005 14:47:54 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini Checking files in %USERPROFILE%\Startup folder... 24.12.2005 16:58:22 HS 77 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Desktop.ini Checking files in %USERPROFILE%\Application Data folder... 20.05.2005 14:47:54 HS 62 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\desktop.ini 07.03.2006 11:29:58 H 86528 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\rbap500.dll 07.03.2006 11:29:58 H 50176 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\RBShell500.dll »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] SV1 = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu {85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IMMenuShellExt {F8984111-38B6-11D5-8725-0050DA2761C4} = C:\PROGRA~1\INCRED~1\bin\ImShExt.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IPSContMenu {EBDF1F20-C829-11D1-8233-0020AF3E97A9} = HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Keyman {1D90D062-79E5-4A16-A162-98CDAC75C915} = C:\Programme\Cherry\KeyMan\KeyManExpShellExt.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Washer {6EE51AA0-77A0-11D7-B4E1-000347126E46} = C:\PROGRA~1\GEMEIN~1\WEBROO~1\SHELLW~1.DLL HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{616c1f06-bad8-11d2-b355-00104b642749} = muangsys.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu {85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\IPSContMenu {EBDF1F20-C829-11D1-8233-0020AF3E97A9} = HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\SpySweeper {7C9D5882-CB4A-4090-96C8-430BFE8B795B} = C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{616c1f06-bad8-11d2-b355-00104b642749} = muangsys.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\IPSContMenu {EBDF1F20-C829-11D1-8233-0020AF3E97A9} = HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Keyman {1D90D062-79E5-4A16-A162-98CDAC75C915} = C:\Programme\Cherry\KeyMan\KeyManExpShellExt.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Washer {6EE51AA0-77A0-11D7-B4E1-000347126E46} = C:\PROGRA~1\GEMEIN~1\WEBROO~1\SHELLW~1.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882} = C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627} = C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{955BE0B8-BC85-4CAF-856E-8E0D8B610560} Hilfsobjekt für Encarta Web-Begleiter = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {327C2873-E90D-4c37-AA9D-10AC9BABA46C} = Easy-WebPrint : C:\Programme\Canon\Easy-WebPrint\Toolband.dll {147D6308-0614-4112-89B1-31402F9B82C4} = Encarta Web-Begleiter : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38} Search Band = %SystemRoot%\system32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\system32\shdocvw.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} Explorer-Band = %SystemRoot%\system32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll {147D6308-0614-4112-89B1-31402F9B82C4} = Encarta Web-Begleiter : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ehTray C:\WINDOWS\ehome\ehtray.exe TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot PinnacleDriverCheck "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg RemoteControl C:\Programme\CyberLink\PowerDVD\PDVDServ.exe NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe KernelFaultCheck %systemroot%\system32\dumprep 0 -k SpySweeper "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe SoundMan SOUNDMAN.EXE ATIPTA C:\ATI-CPanel\atiptaxx.exe QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime CherryKeyMan "C:\Programme\Cherry\KeyMan\KeyMan.exe" HotKey C:\WINDOWS\Twain_32\FlatBed\HotKey.exe FreePDF Assistant C:\Programme\FreePDF_XP\fpassist.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" H/PC Connection Agent "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" SMS-Client "c:\programme\freenet\freenet sms\SMSStarter.exe" -minimized [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bootvis.lnk path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bootvis.lnk backup C:\WINDOWS\pss\Bootvis.lnkCommon Startup location Common Startup command C:\PROGRA~1\MIEE63~1\BOOTVI~1.EXE 50 "C:\Programme\Microsoft Bootvis\BootVis.exe" item Bootvis path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bootvis.lnk backup C:\WINDOWS\pss\Bootvis.lnkCommon Startup location Common Startup command C:\PROGRA~1\MIEE63~1\BOOTVI~1.EXE 50 "C:\Programme\Microsoft Bootvis\BootVis.exe" item Bootvis HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Printkey2000.lnk path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk backup C:\WINDOWS\pss\Printkey2000.lnkCommon Startup location Common Startup command C:\PROGRA~1\PRINTK~1\PRINTK~1.EXE item Printkey2000 path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk backup C:\WINDOWS\pss\Printkey2000.lnkCommon Startup location Common Startup command C:\PROGRA~1\PRINTK~1\PRINTK~1.EXE item Printkey2000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk backup C:\WINDOWS\pss\Service Manager.lnkCommon Startup location Common Startup command C:\PROGRA~1\MI6841~1\80\Tools\Binn\sqlmangr.exe /n item Service Manager path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk backup C:\WINDOWS\pss\Service Manager.lnkCommon Startup location Common Startup command C:\PROGRA~1\MI6841~1\80\Tools\Binn\sqlmangr.exe /n item Service Manager HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloneCDElbyCDFL key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ElbyCheck hkey HKLM command "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item ElbyCheck hkey HKLM command "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Easy-PrintToolBox key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item BJPSMAIN hkey HKLM command C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item BJPSMAIN hkey HKLM command C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\L06DXLRD_381217437 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item EDICT hkey HKCU command "C:\Programme\Microsoft Lernen und Wissen\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE" -m inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item EDICT hkey HKCU command "C:\Programme\Microsoft Lernen und Wissen\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE" -m inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MOD key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item muamgr hkey HKLM command c:\programme\microangelo\muamgr.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item muamgr hkey HKLM command c:\programme\microangelo\muamgr.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item NeroCheck hkey HKLM command C:\WINDOWS\system32\NeroCheck.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item NeroCheck hkey HKLM command C:\WINDOWS\system32\NeroCheck.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ulead Quick-Drop key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item Quick-Drop hkey HKLM command "C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item Quick-Drop hkey HKLM command "C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\USIUDF_Eject_Monitor key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item USISrv hkey HKLM command C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\USISrv.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item USISrv hkey HKLM command C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\USISrv.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state system.ini 0 win.ini 0 bootini 2 services 0 startup 2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run Windows Reg Services C:\WINDOWS\system32\ffservice.exe DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID {17492023-C23A-453E-A040-C7C580BBF700} 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\comdlg32 NoFileMru 1 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun ß NoRecentDocsMenu NoSMHelp NoRecentDocsNetHood NoComputersNearMe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent = Ati2evxx.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier = WRLogonNTF.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 23.07.2006 12:03:07 |
|
|
||
23.07.2006, 13:07
Ehrenmitglied
Beiträge: 29434 |
#14
Troj/Dloader-BY (Information)
http://www.sophos.de/security/analyses/trojdloaderby.html -------------------------------------------------------------------------------------------- 1. Gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - ffservice.exe und lservice.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run Windows Reg Services C:\WINDOWS\system32\ffservice.exe -> loeschen DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe -> loeschen HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe"-> loeschen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe"-> loeschen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe"-> loeschen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{a75aed00-d7bf-11d1-9947-00c0Cf98bbc9}\ -> loeschen StubPath = "C:\\WINDOWS\\System32\\lservice.exe" HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\comdlg32 NoFileMru 1 -> in 0 aendern ----------------------------------------------- Avenger Zitat Files to delete:poste das log vom Avenger __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2006, 13:46
Member
Themenstarter Beiträge: 35 |
#15
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\kyjuumdj ******************* Script file located at: \??\C:\Program Files\rwpdadsh.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\System32\lservice.exe not found! Deletion of file C:\WINDOWS\System32\lservice.exe failed! Could not process line: C:\WINDOWS\System32\lservice.exe Status: 0xc0000034 File C:\WINDOWS\system32\ffservice.exe not found! Deletion of file C:\WINDOWS\system32\ffservice.exe failed! Could not process line: C:\WINDOWS\system32\ffservice.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
|
|
||
glaube es hat auch was mit dem isamonitor zu tun, das tauch auch in meinen laufenden prozessen auf.
Logfile of HijackThis v1.99.1
Scan saved at 19:47:00, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\BMWgroup\ETKLokal\transbase\tbmux32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programme\Media-Codec\pmsngr.exe
C:\Programme\Media-Codec\isamonitor.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Media-Codec\pmmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Media-Codec\isamini.exe
C:\WINDOWS\eHome\ehmsas.exe
c:\programme\freenet\freenet sms\SMSClient.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Virenprogramme\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=229083
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SMS-Client] "c:\programme\freenet\freenet sms\SMSStarter.exe" -minimized
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: AVSKEYX - http://www.avskey.de/view/avskey/gate/ocx/AVSKeyX.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/nd/nd01310.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://turnier.freenet.de/ctl/kingcomie.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2318adbeb1a95f5ac915/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141585845843
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - Unknown owner - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Transbase - Transaction Software, D 81737 Munich - C:\BMWgroup\ETKLokal\transbase\tbmux32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe