TR/Vundo.gen Antivir blockt NonStop!!! |
||
---|---|---|
#0
| ||
29.11.2006, 17:55
Member
Beiträge: 39 |
||
|
||
29.11.2006, 23:19
Ehrenmitglied
Beiträge: 29434 |
#2
jack.black
««««««« Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere den Code rein: Zitat echo ** This batch was originally written by OSC **3. Speichere die Datei als findtheother.bat auf dem Desktop 4. Doppel klick auf diese Datei findtheother.bat ( textdatei abkopieren und posten) «««««« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html ««««««« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «««««« poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.11.2006, 23:37
Member
Themenstarter Beiträge: 39 |
#3
Hi Sabina
danke für die schnelle Antwort! Wenn du mir jetzt noch sagst ob ich das auch im Abgesicherten Modus machen kann, weil mir sonst die Fehlermeldung nicht genug Zeit läßt werde ich das morgen nachmittag sofort machen und posten. Danke Jack |
|
|
||
29.11.2006, 23:39
Ehrenmitglied
Beiträge: 29434 |
#4
wo du willst, normal- oder abgesicherter modus
mit ein bisschen Arbeit bekommt man das sauber. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.11.2006, 00:18
Member
Themenstarter Beiträge: 39 |
#5
So Sabina,
hier die Logs ************************************ **These are the hidden files found** ************************************ Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS\java Verzeichnis von C:\WINDOWS\java **These are the system files found** ************************************ Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS\java ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS\system32 29.11.2006 17:13 13.646 wpa.dbl 29.11.2006 17:13 54.112 vsconfig.xml 27.11.2006 17:39 88.340 cxtoafiu.exe 17.11.2006 18:54 1.040.384 ieframe.dll.mui 17.11.2006 18:53 12.288 advpack.dll.mui 10.11.2006 00:00 110.612 dcglmtmh.exe 08.11.2006 02:38 10.342.824 MRT.exe 07.11.2006 21:03 156.160 msls31.dll 07.11.2006 21:03 1.162.240 urlmon.dll 07.11.2006 21:03 475.648 mshtmled.dll 07.11.2006 21:03 191.488 iepeers.dll 07.11.2006 21:03 3.577.856 mshtml.dll 07.11.2006 21:03 670.720 mstime.dll 07.11.2006 21:03 818.688 wininet.dll 07.11.2006 21:03 180.736 ieui.dll 07.11.2006 21:03 458.752 msfeeds.dll 07.11.2006 21:03 27.136 jsproxy.dll 07.11.2006 21:03 50.688 msfeedsbs.dll 07.11.2006 21:03 6.049.280 ieframe.dll 07.11.2006 21:03 413.696 vbscript.dll 07.11.2006 21:03 231.424 webcheck.dll 07.11.2006 21:03 131.584 extmgr.dll 07.11.2006 03:27 382.976 iedkcs32.dll 07.11.2006 03:27 229.376 ieaksie.dll 07.11.2006 03:26 152.064 ieakeng.dll 07.11.2006 03:26 71.680 admparse.dll 07.11.2006 03:26 55.296 iesetup.dll 07.11.2006 03:26 13.312 ieudinit.exe 07.11.2006 03:26 43.008 iernonce.dll 07.11.2006 03:26 54.784 ie4uinit.exe 07.11.2006 03:26 92.672 inseng.dll 07.11.2006 03:26 123.904 advpack.dll 07.11.2006 03:25 161.792 ieakui.dll 07.11.2006 03:24 56.483 ieuinit.inf 04.11.2006 14:14 1.245.696 msxml4.dll 29.10.2006 20:19 380.486 perfh009.dat 29.10.2006 20:19 52.900 perfc009.dat 29.10.2006 20:19 391.330 perfh007.dat 29.10.2006 20:19 63.784 perfc007.dat 29.10.2006 20:19 897.954 PerfStringBackup.INI 25.10.2006 07:09 143 mcrh.tmp 17.10.2006 12:06 443.904 html.iec 17.10.2006 12:06 78.336 ieencode.dll 17.10.2006 12:05 206.336 WinFXDocObj.exe 17.10.2006 12:05 1.817.088 inetcpl.cpl ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS 29.11.2006 23:54 505.410 ntbtlog.txt 29.11.2006 23:54 2.048 bootstat.dat 29.11.2006 23:53 1.558.150 WindowsUpdate.log 29.11.2006 21:23 774 SchedLgU.Txt 29.11.2006 21:23 50 wiaservc.log 29.11.2006 21:23 214 wiadebug.log 29.11.2006 17:29 652 wincmd.ini 29.11.2006 17:13 0 0.log 28.11.2006 16:11 202 NeroDigital.ini 28.11.2006 15:05 54.156 QTFont.qfn 21.11.2006 23:13 38.949 spupdsvc.log 21.11.2006 23:10 23.141 ie7_main.log 21.11.2006 23:10 92.767 iis6.log 21.11.2006 23:10 124.761 ntdtcsetup.log 21.11.2006 23:10 33.072 ocmsn.log 21.11.2006 23:10 231.657 tsoc.log 21.11.2006 23:10 54.839 ie7.log 21.11.2006 23:10 30.175 msgsocm.log 21.11.2006 23:10 591.366 FaxSetup.log 21.11.2006 23:09 60.082 updspapi.log 21.11.2006 23:08 1.393 imsins.BAK 21.11.2006 23:08 11.261 IDNMitigationAPIs.log 21.11.2006 23:07 10.952 NLSDownlevelMapping.log ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS\Temp 29.11.2006 23:55 255 WGAErrLog.txt 1 Datei(en) 255 Bytes 0 Verzeichnis(se), 5.744.828.416 Bytes frei ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.09.2005 11:17 65 desktop.ini 27.08.2005 12:30 5.065 swflash.inf 26.08.2005 14:57 495 LegitCheckControl.inf 19.03.2002 10:28 143.360 isusweb.dll 19.03.2002 10:25 24.576 dwusplay.dll 19.03.2002 10:25 192.512 dwusplay.exe 6 Datei(en) 366.073 Bytes 0 Verzeichnis(se), 5.744.828.416 Bytes frei ---------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\ 30.11.2006 00:02 0 sys.txt 30.11.2006 00:01 546 down.txt 30.11.2006 00:00 271 tmp.txt 30.11.2006 00:00 11.129 system.txt 29.11.2006 23:59 129 systemtemp.txt 29.11.2006 23:57 102.855 system32.txt 29.11.2006 23:54 805.306.368 pagefile.sys 29.11.2006 23:50 960 contents.txt 29.11.2006 17:09 2.393 vm404.log 28.11.2006 23:36 133.690 hpfr3425.log 28.11.2006 23:36 527 hpfr3420.xml 19.07.2006 15:30 404 avenger.txt 19.07.2006 13:34 792 VundoFix.txt 18.07.2006 11:02 1.213 rapport.txt 17.07.2006 16:30 359 find.txt 17.07.2006 16:16 9.481 files.txt 17.07.2006 11:50 2 DirDPFCns.txt 17.07.2006 11:50 709 DirDPF.txt 17.07.2006 11:32 981 c.txt 09.09.2005 22:23 211 boot.ini 09.09.2005 22:19 47.564 NTDETECT.COM 09.09.2005 22:19 251.184 ntldr 09.09.2005 11:18 0 CONFIG.SYS 09.09.2005 11:18 0 IO.SYS 09.09.2005 11:18 0 MSDOS.SYS 09.09.2005 11:18 0 AUTOEXEC.BAT 02.04.2003 13:00 4.952 bootfont.bin 27 Datei(en) 805.876.720 Bytes 0 Verzeichnis(se), 5.744.828.416 Bytes frei ---------------------------------------------------------------------------- Administrator - 06-11-30 0:03:02,59 Service Pack 2 ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\WINDOWS\ICROSO~1.NET C:\QooBox\Purity\WINDOWS\ICROSO~1.NET\ICROSO~1.NET ((((((((((((((((((((((((((((((( Files Created from 2006-10-30 to 2006-11-30 )))))))))))))))))))))))))))))))))) 2006-11-29 23:50 <DIR> d-------- C:\Vundo 2006-11-29 23:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2006-11-29 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft 2006-11-27 17:39 88,340 --a------ C:\WINDOWS\system32\cxtoafiu.exe 2006-11-21 23:09 <DIR> d-------- C:\WINDOWS\WBEM 2006-11-21 23:09 <DIR> d-------- C:\WINDOWS\system32\de-de 2006-11-21 23:08 <DIR> d--h-c--- C:\WINDOWS\ie7 2006-11-21 23:07 121,856 --------- C:\WINDOWS\system32\xmllite.dll 2006-11-21 23:06 <DIR> d-------- C:\WINDOWS\network diagnostic 2006-11-15 23:31 <DIR> d-------- C:\Programme\MSXML 4.0 2006-11-10 00:00 110,612 --a------ C:\WINDOWS\system32\dcglmtmh.exe 2006-11-07 21:03 6,049,280 --------- C:\WINDOWS\system32\ieframe.dll 2006-11-07 21:03 50,688 --------- C:\WINDOWS\system32\msfeedsbs.dll 2006-11-07 21:03 458,752 --------- C:\WINDOWS\system32\msfeeds.dll 2006-11-07 21:03 180,736 --------- C:\WINDOWS\system32\ieui.dll 2006-11-07 03:26 13,312 --a------ C:\WINDOWS\system32\ieudinit.exe 2006-11-05 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser 2006-11-05 16:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\SendTo 2006-11-05 16:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\. 2006-11-05 16:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2006-11-05 16:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2006-11-05 16:58 <DIR> d--hs---- C:\Dokumente und Einstellungen\Administrator\Cookies 2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Recent 2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2006-11-05 16:58 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft 2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Desktop 2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.. 2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.. 2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\. 2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-28 16:39 -------- d-------- C:\Programme\Micropose 2006-11-28 14:37 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2006-11-21 23:12 -------- d-------- C:\Programme\Internet Explorer 2006-11-13 22:59 -------- d-------- C:\Programme\Mozilla Firefox 2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll 2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll 2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll 2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll 2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll 2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll 2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll 2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe 2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll 2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll 2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll 2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll 2006-10-25 07:24 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll 2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll 2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe 2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll 2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll 2006-10-17 12:03 17408 --a------ C:\WINDOWS\system32\corpol.dll 2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll 2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe 2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll 2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll 2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe 2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll 2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll 2006-10-13 17:46 98324 --a------ C:\WINDOWS\system32\mpunwxry.dll 2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll 2006-10-03 21:52 -------- d-------- C:\Programme\BP Go!Zilla v4.1 2006-09-30 16:52 -------- d-------- C:\Programme\D-Tools 2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll 2006-09-06 16:42 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\"" "IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\point32.exe\"" "QuickFinder Scheduler"="\"C:\\Programme\\WordPerfect Office 11\\Programs\\QFSCHD110.EXE\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cmatpi HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineak32 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1126366123.job Completion time: 06-11-30 0:04:22.62 C:\ComboFix.txt ... 06-11-30 00:04 --------------------------------------------------------------------------- Vielen Dank und eine gute Nacht Jack |
|
|
||
30.11.2006, 10:26
Ehrenmitglied
Beiträge: 29434 |
#6
jack.black
ich nehme an, du hast schon mit vundofix gescannt, denn der vundo in C:\WINDOWS\java scheint geloescht ??????????? scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\gxmxjrbs.dll (file missing)** poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.11.2006, 17:58
Member
Themenstarter Beiträge: 39 |
#7
Hi Sabina
also habe gerade den Vundofix scannen lassen, habe vorher auch die Systemherstellung deaktiviert. Der hat dann 5 Files gefunden kann aber nur 4 löschen. Bei C:\Windows\java\cmatpi.dll meldet der Error 75 kann nicht löschen und versucht es nach einem Reboot nochmal leider bekommt der den dann auch nicht weg. Werde die Anleitung mal weiter abarbeiten und sehen was Du dazu meinst. Danke Jack |
|
|
||
30.11.2006, 19:05
Member
Themenstarter Beiträge: 39 |
#8
So hier der Rest bzw das HiJack Log.
Logfile of HijackThis v1.99.1 Scan saved at 18:52:27, on 30.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Virus\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\BP Go!Zilla v4.1\GoIEHlp.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing) O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [rgnwwvil] C:\ewxvpyvc.bat O4 - HKLM\..\RunOnce: [VundoFix] "C:\Dokumente und Einstellungen\Administrator\Desktop\vundofix.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
01.12.2006, 01:13
Ehrenmitglied
Beiträge: 29434 |
#9
erstelle eine find.bat und poste den text
Zitat echo ** This batch was originally written by OSC ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.12.2006, 08:31
Member
Themenstarter Beiträge: 39 |
#10
Moin
also erstens: Der Normale Rechnerbetrieb geht bei mir wieder die Fehlermeldung ist weg. Aber erst als ich das gestern abend mal getestet habe hat der den Avenger beendet und ich konnte da auch endlich das backup.zip löschen. Da hatte ich dir aber schon das Hijack aus dem Abgesicherten Modus gepostet. Zweitens: Hier nun das was der find.bat gefunden hat. ************************************ **These are the hidden files found** ************************************ Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS\java ************************************ **These are the system files found** ************************************ Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E043-B8CF Verzeichnis von C:\WINDOWS\java Befürchte das ich die Prozedur oben jetzt nochmal machen darf, aber jetzt kann ich ja wieder in den Normal Modus. Warte auf Anweisungen. Gruß Jack |
|
|
||
01.12.2006, 11:55
Ehrenmitglied
Beiträge: 29434 |
#11
C:\WINDOWS\java - scheint sauber zu sein
was mich ein bisschen durcheinanderbringt ist: die 1. bat-Datei hat ebenfalls angegeben, dass java sauber ist , dennoch hat der vundofix etwas gefunden C:\Windows\java\cmatpi.dll meldet der Error 75 scanne also bitte noch mal mit vundofix, dann suche die zwei scanreporte von vundofix und poste sie hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.12.2006, 21:14
Member
Themenstarter Beiträge: 39 |
#12
Hi
also verstehe das nicht so ganz. Habe mit Vundofix gescannt und dann ein Hijack ausgeführt und das Log kopiert, steht unten. Ist es der Scanreport den du meintest oder hab ich da was falsch vertstanden??? Logfile of HijackThis v1.99.1 Scan saved at 21:11:16, on 01.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\programme\Microsoft ActiveSync\WCESCOMM.EXE D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe D:\Programme\JtG\DBox2.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\Programme\JtG\atelnet.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\JtG\udrec.exe C:\Virus\HiJack\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\BP Go!Zilla v4.1\GoIEHlp.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing) O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Go!Zilla] "C:\Programme\BP Go!Zilla v4.1\gozilla.exe" /tray O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\BP Go!Zilla v4.1\download-with-gozilla.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: http://locator.cdn.imageservr.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke Jack |
|
|
||
02.12.2006, 17:11
Ehrenmitglied
Beiträge: 29434 |
#13
«
fixe mit dem HijackThis: O15 - Trusted Zone: http://locator.cdn.imageservr.com « ich versuche dir zu erklaeren, was passiert ist: ich habe den vundo gesehen in C:\WINDOWS\java\cmatpi.dll also habe ich eine bat-Datei erstellt, welche die versteckten (nicht sichtbaren Dateien) anzeigen sollte, normalerweise, bak , bak1 und bak2 -Dateien. Ergebnis war: java ...sauber , keine versteckten Dateien, obwohl sie eigentlich vorhanden sein sollten, was der vundofix dann auch bestaetigt hat - indem er die dll geloescht hat (?) nun - es muesste wieder alles sauber sein, ich nehme an, der vundofix hat die java-Datei gesaeubert - oder kommen noch popups ??? »» mache zur Sicherheit noch einen Onlinescan mit Panda und poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.12.2006, 17:47
Member
Themenstarter Beiträge: 39 |
#14
OK
werde das fixen und den Online Scan machen. Pop-Ups, der Fehlermeldung von AntiVir nicht, was mir schon viel wert ist. Werde dann nachher mal wieder den Rechner ans Netz anschliessen und gucken bzw mit Panda scannen. Habe da aber schon mal ein paar allgemeine Fragen die du mir evtl beantworten könntest. 1.) Sollte ich die Systemwiederherstellung immer ausschalten wenn ich nach Viren scanne (AntiVir, Spybot, Ewido) damit die auch wirklich weg sind oder ist das überflüssig bei denen. 2.) Bringt es etwas wenn ich ein weiteren Benutzeracccount mit eingeschränkten Berechtigungen erstelle, um mit diesem im Netz zu surfen? Können die Viren sich dann überhaupt festschreiben, das müßte doch gesperrt werden über die Einschränkung? Oder ist das ein riesiger Blödsinn und Irrglaube. 3.) Kann ich eigentlich die Java-Komponente während dem Surfen sperren weil ich das Gefühl habe das liegt alles nur an JavaScript? Bitte nicht sofort die Hände über dem Kopf zusammenschlagen. Mir reichen kurze Antworten ;-). Danke Jack P.S. Das Panda-Log usw folgt bestimmt erst morgen nachmittag/abend. |
|
|
||
02.12.2006, 19:36
Ehrenmitglied
Beiträge: 29434 |
#15
1.
die Systemwiederherstellung sollte nach Virenbefall deaktiviert werden (dann wieder aktivieren) 2. C:\WINDOWS\JAVA - ist eine regulaere Datei - der Vundotrojaner hatte sich dort festgesetzt. - das hat nichts mit javascript zu tun. 3. Benutzeracccount mit eingeschränkten Berechtigungen - ist ein guter Schutz. «« eine andere Vorsichtsmassnahme: ist der Browser Firefox http://virus-protect.org/firefox.html als Alternativbrowser zum IE (der bleibt fuer die Windowsupdates) «« und die Sandboxie http://virus-protect.org/artikel/tools/sandboxie.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
habe leider ein kleines Problem mit diesem Trojaner: TR/Vundo.gen
Wollte eigentlich dieses Wochenende mal das Elend mit WinAntiVirus 2006 beheben das mich schon seit einer Woche nervte.
Aber jetzt kommt es besser: Rechner fährt hoch, gebe Passwort ein, sofort Fehlermedung von Antivir, klicke Meldung weg, Desktop erscheint, Fehlermedung von Antivir und die bekomme ich nicht weg.
Hier der genaue Fundort: C:\Windows\java\cmatpi.dll
Habe Rechner im Abgesicherten Modus als Admin gescannt mit Antivir aber da findet der nix. Hoffe ihr könnt mir helfen. Habe schon mit HiJack gescannt Post folgt, aber nicht im Abgesicherten Modus. Falls der Scan umbedingt im Abgesicherten Modus erfolgen muß bitte kurz melden. Kann ich die Reperaturarbeiten auch im Abgesicherten Modus ausführen, denn bei normalem Betrieb springt mich ja immer die Fehlermeldung von AntiVir an.
Danke für die Hilfe.
Gruß Jack
HiJack LogFile
Logfile of HijackThis v1.99.1
Scan saved at 17:28:34, on 29.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\JtG\DBox2.exe
C:\totalcmd\TOTALCMD.EXE
C:\Virus\HiJack\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\gxmxjrbs.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {3C3F897A-B33D-4A2E-A797-B0B269503550} - C:\WINDOWS\java\cmatpi.dll
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\BP Go!Zilla v4.1\GoIEHlp.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Go!Zilla] "C:\Programme\BP Go!Zilla v4.1\gozilla.exe" /tray
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\BP Go!Zilla v4.1\download-with-gozilla.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: cmatpi - C:\WINDOWS\java\cmatpi.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineak32 - wineak32.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe