Virusburster eingefangenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
02.11.2006, 21:53
Member
Beiträge: 11 |
||
|
||
03.11.2006, 02:12
Ehrenmitglied
Beiträge: 29434 |
#2
ich habe dir per PM geantwortet - hatte diese zuerst gelesen.
wenn du mit dem Avenger nicht zurechtkommst, dann schreibe es hier. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.11.2006, 15:43
Member
Themenstarter Beiträge: 11 |
#3
Sorry ich übe noch verzweifelt (*kopfkratz) ..... auch wenn ich weiß das ich das Problem so schnell wie möglich loswerden muß, aber ich war bis jetzt arbeiten und habe erst jetzt Zeit zu schauen wie es geht.....
LG schmidsy |
|
|
||
03.11.2006, 15:44
Ehrenmitglied
Beiträge: 29434 |
#4
dann poste hier das log vom avenger, was nach neustart erscheint, dann weiss ich, ob es geklappt hat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.11.2006, 16:02
Member
Themenstarter Beiträge: 11 |
#5
Hi im Moment plagt mich das Problem, dass ich noch nicht ein mal weiß, wie ich das in den Avenger reinkopiert bekomme......ich weiß es klingt so als wäre ich schwer blond....
LG Schmidsy |
|
|
||
03.11.2006, 16:28
Ehrenmitglied
Beiträge: 29434 |
#6
Input script manually (anhaken) die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) Beispiel: du musst das script reinkopieren, was ich dir geschrieben habe Zitat Registry values to delete: Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten nach dem neustart erhaelst du ein Log - kopiere es ab und hier rein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.11.2006, 16:47
Member
Themenstarter Beiträge: 11 |
#7
Ich kann es gar nicht glauben dieses blinkende Mistding ist weg !!!!!!
Danke für die Erklärung für Dummis..... So und jetzt muß ich den Avenger löschen ja über die C: Datei......ok versuche das mal Ich hiermit schonmal Lieb danke sagen !!!!! Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\rbvwtswk ******************* Script file located at: \??\C:\vgxwkrbr.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\veklo.dll deleted successfully. Folder C:\Programme\VirusBursters deleted successfully. Folder C:\Programme\TrueCodec deleted successfully. Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring deleted successfully. Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1} deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TrueCodec not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TrueCodec failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} deleted successfully. Completed script processing. ******************* Finished! Terminate. So habe jetzt dann alles noch was ich von avenger finden konnte gelöscht.......habe versucht mit smitfraud zu scannen, aber ich weiß nicht wie....ich komme mir wirklich sehr dumm vor, entschuldige bitte..... Dieser Beitrag wurde am 03.11.2006 um 19:47 Uhr von Schmidsy editiert.
|
|
|
||
04.11.2006, 01:30
Ehrenmitglied
Beiträge: 29434 |
#8
0.
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip 1. doppelklick smitfraudfix.cmd 2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt) drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht wird üblicherweise auf der Festplatte gefunden, als C:\rapport.txt 3. doppelklick smitfraudfix.cmd 4. Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen. ---------------------------------------------------------------------- Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen. die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte... Wenn du die Zones und Restricted Zones wiederherstellen willst, gib die 3 ein und drücke auf Enter. Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen. **** Man sollte den Rechner nun neu starten, um den Reinigungsprozess zu beenden. Das Logfile findet man auf deiner Festplatte, normalerweise als C:\rapport.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.11.2006, 21:19
Member
Themenstarter Beiträge: 11 |
#9
Hallo....
Und sorry das ich mich so spät melde aber ich war wieder arbeiten und habe ein kleines Kind....ist also kein desintresse hier von mir....obwohl du mir hier genau schreibst was ich zu tun habe komme ich leider nicht weiter, ich bekomme folgendes zu lesen, also wenn ich 1 drücke passiert nichts, nach der Enter -Taste dann folgendes: SmitFraudFix v2.119 Fichier Process.exe absent ! Dezippez la totalité de l'archive dans un dossier. Process.exe file missing ! Unzip all the archive in a folder. Drücken Sie eine beliebige Taste . . . ******************************************* Ok ich glaube es hat doch irgendwe geklappt: SmitFraudFix v2.119 Scan done at 21:26:55,46, 04.11.2006 Run from C:\Dokumente und Einstellungen\Sylvia Schmidt\Desktop\Neuer Ordner\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Sylvia Schmidt »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Sylvia Schmidt\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\SYLVIA~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="http://eur.i1.yimg.com/eur.yimg.com/i/eu/hp/yde1.gif" "SubscribedURL"="http://eur.i1.yimg.com/eur.yimg.com/i/eu/hp/yde1.gif" "FriendlyName"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1] "Source"="http://www.afrointroductions.com/memphoto/Photo4/Big/103883.jpg" "SubscribedURL"="http://www.afrointroductions.com/memphoto/Photo4/Big/103883.jpg" "FriendlyName"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2] "Source"="http://www.trojaner-info.de/logos/backgr.gif" "SubscribedURL"="http://www.trojaner-info.de/logos/backgr.gif" "FriendlyName"="" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End ******************************************************* SmitFraudFix v2.119 Scan done at 21:27:51,02, 04.11.2006 Run from C:\Dokumente und Einstellungen\Sylvia Schmidt\Desktop\Neuer Ordner\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ********************************************************* SmitFraudFix v2.119 Restore Trusted Zone ? (y/n) y Saving BackUp... Trusted Zone deleted. Drücken Sie eine beliebige Taste . . . ********************************************************* Ich hoffe das ich alles richtig gemacht habe ????? LG Schmidsy Dieser Beitrag wurde am 04.11.2006 um 21:53 Uhr von Schmidsy editiert.
|
|
|
||
05.11.2006, 02:14
Ehrenmitglied
Beiträge: 29434 |
#10
mit deinem Rechner ist wieder alles o.k.
oder kommen noch popups ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.11.2006, 08:37
Member
Themenstarter Beiträge: 11 |
#11
Hallo Sabina.....
Nein keine Popups mehr.....vielen vielen Dank für die schnelle, freundliche und vor allem kompetente Hilfe !!!!! Eine Frage noch, sollte ich dennoch neu formatieren, war mein PC komprimitiert ???? Insbesondere frage ich wegen online Banking....oder soll ich mir von der Bank neue Zugangsdaten geben lassen und alle Passwörter ändern ??? ...Ich habe hier im Forum schon gelesen man sollte ein zweites Benutzerkonto mit eingeschränkten Rechten einrichten.......Hätte ich bei meinem EX vieleicht mal machen sollen, denn ich glaube er war Schuld an der ganzen Sache....ich bewege mich immer sehr vorsichtig im Internet und lade mir nicht jeden Quatsch runter......konntest Du erkennen woher der Virusburster kam ???? Ich habe die Vermutung von einer Pornoseite, denn ich bekam in den Popups immer nackte Tatsachen präsentiert.....Nun ja jetzt ist der Burster weg und der Freund auch.... GOTT SEI DANK !!!! LG Schmidsy |
|
|
||
05.11.2006, 12:30
Ehrenmitglied
Beiträge: 29434 |
#12
du musst keine Passworte aendern und der Rechner ist wieder sauber.
der Virusburster kommt auf den Rechner, wenn man sich ohne es zu wissen, einen Codec runterlaedt, um sich einen Film usw. ansehen zu koennen. Dass da ein Faketool als Zugabe erscheint, wissen die wenigsten.... Die Masche laeuft darauf hinaus, dass man dann das Faketool bezahlen soll. - oder auf Seiten umgeleitet wird, wo nackte Tatsachen herrschen - was wiederum Werbegelder in die Kassen der Betrueger bringt. Du hast alles korrekt abgearbeitet - also kein Grund mehr zu Sorge. truecodec http://virus-protect.org/artikel/spyware/truecodec_remove.html hier sind die Codecs (bis jetzt bekannten) http://virus-protect.org/artikel/spyware/zspyware.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.11.2006 um 12:37 Uhr von Sabina editiert.
|
|
|
||
05.11.2006, 20:54
Member
Themenstarter Beiträge: 11 |
#13
Liebe Sabina.....
Ok vielen Dank nochmal für Deine Hilfe !!!! Kannst Du Dir bitte folgendes noch anschauen, mein Antivir gab mir beim Durchlaufen Meldung über Trojaner/Viren......ich konnte sie nach Beendigung löschen......ist alles weg, was ist Deine Meinung ??? LG Schmisy AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Sonntag, 5. November 2006 12:00 Es wird nach 546033 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: SYLVIA Versionsinformationen: AVSCAN.EXE : 7.0.0.47 200744 21.08.2006 11:06:54 AVSCAN.DLL : 7.0.0.45 41000 25.07.2006 12:09:34 LUKE.DLL : 7.0.0.47 118824 07.09.2006 11:32:32 LUKERES.DLL : 7.0.0.47 9256 07.09.2006 11:32:32 ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 11:35:20 ANTIVIR1.VDF : 6.36.0.228 2062336 02.11.2006 16:03:04 ANTIVIR2.VDF : 6.36.0.229 2048 02.11.2006 16:03:04 ANTIVIR3.VDF : 6.36.0.236 56832 03.11.2006 20:07:14 AVEWIN32.DLL : 7.2.0.37 1901056 03.11.2006 16:03:04 AVPREF.DLL : 7.0.0.2 23080 24.07.2006 13:35:50 AVREP.DLL : 6.36.0.144 876584 20.10.2006 20:38:48 AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 09:43:10 AVPACK32.DLL : 7.2.0.5 368680 25.10.2006 20:38:54 AVREG.DLL : 6.31.0.90 27688 28.07.2005 11:06:24 NETNT.DLL : 6.32.0.0 6696 27.09.2005 08:56:48 NETNW.DLL : 7.0.0.0 9768 24.07.2006 13:35:44 RCIMAGE.DLL : 7.0.0.74 1642536 01.08.2006 12:22:54 RCTEXT.DLL : 7.0.1.4 77864 18.10.2006 15:27:24 Konfiguration für den aktuellen Suchlauf: Job Name......................: Lokale Festplatten Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Bootsektoren..................: C,D Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: 0 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Sonntag, 5. November 2006 12:00 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 44 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 25 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\DEFAULT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SOFTWARE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SYSTEM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Sylvia Schmidt\ntuser.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Sylvia Schmidt\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Sylvia Schmidt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Sylvia Schmidt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP278\A0032590.exe [0] Archivtyp: ZIP SFX (self extracting) --> setup.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Delf.UO.24 [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP270\A0031277.exe [0] Archivtyp: ZIP SFX (self extracting) --> setup.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Delf.UO.24 [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP276\A0031887.exe [0] Archivtyp: ZIP SFX (self extracting) --> setup.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Delf.UO.24 [INFO] Die Datei wurde gelöscht. Ende des Suchlaufs: Sonntag, 5. November 2006 17:17 Benötigte Zeit: 5:17:13 min Der Suchlauf wurde vollständig durchgeführt. 2940 Verzeichnisse wurden überprüft 113712 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 3 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 6315 Archive wurden durchsucht 24 Warnungen 0 Hinweise Dieser Beitrag wurde am 05.11.2006 um 21:26 Uhr von Schmidsy editiert.
|
|
|
||
05.11.2006, 22:01
Ehrenmitglied
Beiträge: 29434 |
#14
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren ! ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.11.2006, 22:34
Member
Themenstarter Beiträge: 11 |
#15
Hallo.........
War einige Tage in Urlaub, deswegen erst jetzt nochmal kurz ein Feedback !!!! Vielen Dank für alles !!!! LG Schmidsy |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 22:00:08, on 02.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TrueCodec\isamonitor.exe
C:\Programme\TrueCodec\pmsngr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\TrueCodec\isamini.exe
C:\Programme\TrueCodec\pmmon.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sylvia Schmidt\Desktop\Neuer Ordner\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\TrueCodec\isaddon.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\TrueCodec\iesplugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by115fd.bay115.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151349683250
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: clamoring - {0d9eb558-0666-479e-868a-21b1d1a53bd1} - C:\WINDOWS\system32\veklo.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe