Google-Links öffnen andere Seiten als ursprünglich verlinktThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
04.08.2006, 13:49
...neu hier
Beiträge: 4 |
||
|
||
04.08.2006, 15:34
Ehrenmitglied
Beiträge: 29434 |
#2
aldero
0. poste das log http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei 1. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 2. CleanUp anwenden http://virus-protect.org/cleanup.html 3. poste das log http://virus-protect.org/artikel/tools/combofix.html 4. poste das log http://virus-protect.org/silentrunner.html 5. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 17:37
...neu hier
Themenstarter Beiträge: 4 |
#3
Hi Sabina,
Also: 0. blacklight hat diverse Virenwarnungen ausgelöst (Virus Detected! While opening file: C:\Windows\system32\{5BB59898-39D4-4237-A5D0--CD62454C6BC1}.exe ... Trojan horse Clicker.FR Trojan horse Generic.XFV Trojan horse Generic.XKS Diese Dateien konnte AVG Antivir weder löschen noch verschieben.) und blieb dann im system32-Ordner hängen. Hier das blacklight-Log bis dahin: # 08/04/06 16:54:04 [Info]: BlackLight Engine 1.0.42 initialized 08/04/06 16:54:04 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/04/06 16:54:04 [Note]: 7019 4 08/04/06 16:54:04 [Note]: 7005 0 08/04/06 16:54:06 [Note]: 7006 0 08/04/06 16:54:06 [Note]: 7011 1392 08/04/06 16:54:06 [Note]: 7026 0 08/04/06 16:54:06 [Note]: 7026 0 08/04/06 16:54:15 [Note]: FSRAW library version 1.7.1019 08/04/06 16:58:20 [Info]: Hidden file: c:\WINDOWS\system32\dmtce.exe 08/04/06 16:58:20 [Note]: 7002 32 08/04/06 16:58:20 [Note]: 7003 1 08/04/06 16:58:20 [Note]: 10002 1 08/04/06 16:58:24 [Info]: Hidden file: c:\WINDOWS\system32\cslnv.exe 08/04/06 16:58:24 [Note]: 7002 32 08/04/06 16:58:24 [Note]: 7003 1 08/04/06 16:58:24 [Note]: 10002 1 08/04/06 16:58:25 [Info]: Hidden file: c:\WINDOWS\system32\{5BB59595-39D4-4237-A5D0-CD62454C6BC1}.exe 08/04/06 16:58:25 [Note]: 7002 5 08/04/06 16:58:25 [Note]: 7003 1 08/04/06 16:58:25 [Note]: 10002 1 08/04/06 16:58:29 [Info]: Hidden file: c:\WINDOWS\system32\{33BCE62A-3DBB-4FBB-B5CA-104BCC86A354}.exe 08/04/06 16:58:29 [Note]: 7002 5 08/04/06 16:58:29 [Note]: 7003 1 08/04/06 16:58:29 [Note]: 10002 1 08/04/06 16:58:29 [Info]: Hidden file: c:\WINDOWS\system32\{34856F18-AD0B-4152-96C8-56C3D89EB088}.exe 08/04/06 16:58:29 [Note]: 10002 1 08/04/06 16:58:31 [Info]: Hidden file: c:\WINDOWS\system32\{B43CAC12-46CE-4F7D-9581-15EBBB0B6E41}.exe 08/04/06 16:58:31 [Note]: 7002 5 08/04/06 16:58:31 [Note]: 7003 1 08/04/06 16:58:31 [Note]: 10002 1 08/04/06 16:58:31 [Info]: Hidden file: c:\WINDOWS\system32\{E5C62ACC-3418-4369-956B-FD2A9A2CC880}.exe 08/04/06 16:58:31 [Note]: 7002 5 08/04/06 16:58:31 [Note]: 7003 1 08/04/06 16:58:31 [Note]: 10002 1 08/04/06 16:58:31 [Info]: Hidden file: c:\WINDOWS\system32\{FB5092C7-8CF5-4E1A-8F39-C3FE3F7107C9}.exe 08/04/06 16:58:31 [Note]: 10002 1 /# 1. Bei Hoster habe ich "Restore Microsoft's Original Hosts File" angecklickt und 2. CleanUp! einmal komplett durchlaufen lassen mit Systemneustart. 3. Combofix blieb während "Preparing Log Report" hängen. 4. Silent Runners.vbs gab die Fehlermeldung 'Windows Script Host' aus: "Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administator, um weitere Details in Erfahrung zu bringen" ('für diesem' mit 'm'). Wenn es darum ging in Erfahrung zu bringen, welche Programme automatisch starten empfehle ich die Freeware "Startup Manager". Keine verdächtigen Autostart-Programme in Sicht. 5. datFind.bat legt die Datei C:\system32.txt mit dem Eintrag "Verzeichnis von C:\WINDOWS\system32" an und bleibt hängen. Wahrscheinlich werden die Blockaden also von den Viren/Trojanern Trojan horse Clicker.FR Trojan horse Generic.XFV Trojan horse Generic.XKS ausgelöst. AVG Antivir erkennt diese Trojaner zwar (allerdings auch nicht immer - beim kompletten Systemscan wurde nichts entdeckt.), kann das System jedoch nicht säubern. Was kann ich tun? Grüße, aldero |
|
|
||
04.08.2006, 17:49
Ehrenmitglied
Beiträge: 29434 |
#4
*
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen Dann lass Blacklight den Rechner neu starten - scan --> next none auf rename ändern * wo sind all die anderen logs ? ERSTELLE SIE IM ABGESICHERTEN MODUS __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.08.2006, 19:40
...neu hier
Themenstarter Beiträge: 4 |
#5
Danke für Deine Hypothesen - hätte ja sein können ...
Nun hab ich zwei neue Fehlermeldungen: "F-Secure BlackLight cannot be used in Safe Mode. Please restart your computer in Normal Mode" und "Combofix cannot run in Safe Mode" Auch im Abgesicherten Modus ist der Zugriff auf den system32-Ordner nicht möglich. DatFind.bat bleibt immer noch hängen und Silent Runners.vbs meldet wieder die selbe Fehlermeldung. Also keine Logs! Wie oben beschrieben bleibt Blacklight im system32-Ordner hängen! Somit ist mit diesem Programm auch kein Umbenennen möglich. Lass mich noch einmal zusammenfassen: 1. Folgende Trojaner wurden entdeckt, konnten jedoch nicht gelöscht werden: Trojan horse Clicker.FR Trojan horse Generic.XFV Trojan horse Generic.XKS 2. Suchergebnisse von Google werden nach dem Anklicken auf andere Seiten (meist Online-Shops etc.) umgeleitet. 3. Manueller Zugriff auf den Windows/System32-Ordner ist nicht möglich; Systemscanner bleiben dort hängen. _(._.)_.o(Vielleicht sollte ich ein neues Thema anfangen, mit der Bezeichnung "Trojanerbefall: Clicker.FR, Generic.XFV, Generic.XKS" um auf gezielte Antworten hoffen zu können.) __________________________________________________ __________________________________________________ 20:42 Uhr --------- Nun habe ich wieder Zugriff auf den System32-Ordner - ich habe folgendes getan: 1. Fixwareout.exe downloaden: http://downloads.subratam.org/Fixwareout.exe * Run Fixwareout: Doubleclick on the Fixwareout.exe file to run it. Click Next, then Install, then make sure "Run fixit" is checked and click Finish. The fix will begin. Follow the prompts. You will be asked to reboot your computer, please do so. Your system may take longer than usual to load, this is normal. When your system reboots, a text file will open called report.txt. 2. Killbox downloaden & starten http://www.downloads.subratam.org/KillBox.exe 3. Nun habe ich die sechs Trojaner-Files (Directory of C:\WINDOWS\system32) mit Killbox gelöscht und dadurch wieder Zugriff auf den System32-Ordner. Nachfolgend das Logfile vom Programm Fixwareout. Die Dateien '{33BCE62A-3DBB-4FBB-B5CA-104BCC86A354}.exe', etc. habe ich also schon gelöscht. Was ist mit den Dateien CSEWR.EXE, CSSHH.EXE, CSEWR.EXE, CSSHH.EXE, DMFTV.EXE und DMJJO.EXE - soll ich die auch löschen? # Fixwareout ver 1.003 Last edited 07/1/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4F2F79AEA92C-447B-69F4-0FC9-4A8ECEF1{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\vtfmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is legitimate »»»»» Search by size and names... * csr.exe C:\WINDOWS\System32\CSEWR.EXE * csr.exe C:\WINDOWS\System32\CSSHH.EXE »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINDOWS\SYSTEM32\CSEWR.EXE 51.247 2006-07-05 C:\WINDOWS\SYSTEM32\CSSHH.EXE 51.215 2006-07-14 C:\WINDOWS\SYSTEM32\DMFTV.EXE 61.962 2004-08-04 C:\WINDOWS\SYSTEM32\DMJJO.EXE 44.087 2004-08-04 Other suspects Directory of C:\WINDOWS\system32 {33BCE62A-3DBB-4FBB-B5CA-104BCC86A354}.exe {34856F18-AD0B-4152-96C8-56C3D89EB088}.exe {5BB59595-39D4-4237-A5D0-CD62454C6BC1}.exe {FB5092C7-8CF5-4E1A-8F39-C3FE3F7107C9}.exe {E5C62ACC-3418-4369-956B-FD2A9A2CC880}.exe {B43CAC12-46CE-4F7D-9581-15EBBB0B6E41}.exe /# Dieser Beitrag wurde am 04.08.2006 um 20:42 Uhr von aldero editiert.
|
|
|
||
04.08.2006, 20:47
Ehrenmitglied
Beiträge: 29434 |
#6
avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2006, 00:04
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina, Dankeschon :-)
Gemeinsam scheinen wir's geschafft zu haben. Wie man auch in anderen Threads erkennen kann bist Du eine sehr fleißige Forum-Moderatorin, deshalb kann man mal davon absehen, dass Du einzelne Postings mitunter nicht so ganz genau durchliest und entsprechend antwortest. Die beiden Dateien csshh.exe und csewr.exe waren mir auch suspekt. Die hatte ich schon umbenannt und nun also endgültig gelöscht. Die EXE-Dateien in den geschweiften Klammern hatte ich - wie gepostet - schon gelöscht (danach war der Zugriff auf System32 wieder möglich) und die anderen "files to delete" befanden sich gar nicht auf meiner Festplatte. Bei 'Hoster' habe ich nun also noch einmal "Restore Microsoft's Original Hosts File" angecklickt. Blacklight und combofix.exe liefen nun auch durch und haben jedoch nichts gefunden. Beim Virenscan wurde noch eine Datei C:\WINDOWS\SYSTEM32\RZSPY.EXE als W32/Agent.IZL (virus) enttarnt. Eine andere Datei SYSTEM32\DMLZU.EXE wurde übersprungen. Beim Systemneustart war diese Datei verschwunden und beim erneuten Scan wurde nun eine Datei SYSTEM32\DMAYX.EXE übersprungen (welche sich vor dem Neustart noch nicht in dem Ordner befand und sich weder löschen noch umbenennen ließ). DMAYX.EXE war nach einem weiteren Neustart immer noch vorhanden und ließ sich nun umbenennen. Ein weiterer Virenscan brachte keine Entdeckungen mehr, so dass ich annehme, dass das System nun sauber ist. Noch einmal Danke & alles Gute, Aldero |
|
|
||
auch nachdem ich mehrmals einen Virenscanner und verschiedene Anti-Spyware-Programme hab durchlaufen lassen und mit der automatischen Hijackthis-Auswertung gefixt habe hat sich nichts geändert:
Wenn ich in Google einen Suchtreffer anklicke, öffnet sich immer wieder eine andere Seite als die verlinkte.
Statt
http://www.taucher.net/redaktion/45/mp3_Unterwasser___7.html
öffnet sich
http://www.mediaonline.de/shop/category_5000_5000_-3_5000.13504.11001
oder statt
http://www.katze-und-du.de/nahr1001.htm
öffnet sich
http://www.shop4pets.de/?OVRAW=vegetarische%20Katzennahrung&OVKEY=katzennahrung&OVMTC=advanced
auffallend ist, dass die falsch geöffneten Seiten häufig Shop- oder ebay-Seiten sind.
Immer wieder mal beobachte ich, dass mein ZoneAlarm nach dem Hochfahren des Rechners eine Verbindung des InternetExplorers blockt, der sich ins Netz einwählen will. Leider finde ich keinen Hinweis darauf, welches Programm diese Verbindung herstellen will.
Einen Eintrag
O4 - HKLM\..\Run: [dmyye.exe] C:\WINDOWS\system32\dmyye.exe
im Hijackthislog hatte ich noch nicht gefixt, weil ich keine weiteren Infos dazu bekam.
Virusscan.Jotti.org antwortete "The file you uploaded is 0 bytes...". Über die Schaltfläche [Durchsuchen...] fand ich die Datei 'dmyye.exe'. Über den WindowsExplorer oder die Suchen-Funktion blieb sie verschwunden.
In einen erneuten HijackThis-Scan ist dieser Eintrag verschwunden und auch nach zwei Neustarts habe ich plötzlich keinen Zugriff mehr auf den system32-Ordner ("Keine Rückmeldung"). Auch die [Durchsuchen...]-Schaltflächen in Formularen funktionieren nun nicht mehr.
Nachfolgend poste ich den aktuellsten HijackThis-Scan.
Kann man daraus ersehen, was mit meinem System nicht stimmt?
Logfile of HijackThis v1.99.1
Scan saved at 13:46:38, on 04.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\AVGFRE~1\avgcc.exe
C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\HijackThis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Im Zeichen der Zeit stehen ... http://noninWeb.de/sign
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.165.130.93:80
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\default\prefs.js)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: CLOCK.lnk = C:\Programme\CLOCK.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115450147203
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe