Home » Viren, Trojaner & Malware Forum » Trojan.KillCMOS Virus in pagefile.sys, bitte um Rat! » Themenansicht
Trojan.KillCMOS Virus in pagefile.sys, bitte um Rat! |
||
|---|---|---|
| #0
| ||
|
04.03.2007, 19:28
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
05.03.2007, 09:11
Ehrenmitglied
 Beiträge: 29434 |
#2
deinstalliere C:\Programme\ClamWin wieder - ich habe das proggie zwar noch nicht geladen/ueberprueft, aber ich nehme stark an, dass es nicht koscher ist.
in der pagefile.sys und hiberfil.sys meiner 160 GByte Samsung Festplatte ein gewisser "Trojan.KillCMOS" Virus steckt - das ist Unsinn  - aus einem anderen Thread: File M:\Hacking\Bios\bios.zip infected by "Trojan.KillCMOS.l" hast du irgendwas suspektes in letzter Zeit runtergeladen ? »» scanne mit kaspersky und poste hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.03.2007, 18:04
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo,
So, ich habe nun den Kaspersky Online Scan von einer anderen, gerade formatierten und somit vollständig virenfreien Festplatte gemacht. Das Ergebnis: Er hat nur gesperrte Dateien gefunden, also keinen Virus. Ich werde trotzdem das Protokoll unten beilegen, vielleicht gibt es da ja noch einen anderen Bösewicht.  Nebenbei deinstalliere ich ClamWin auf jeden Fall wieder, da es auch meiner Meinung nach nichts taugt. Nun, ich weiß nicht ob es nötig sein wird, trotzdem werde ich bald einen Bootscan mithilfe der GDATA CD machen, damit er alles von dort aus checkt. Durch die eindeutigen Ergebnisse von GDATA und Kaspersky habe ich mich nun wieder beruhigt :-) Gruß Christian P.S. Die Festplatte, auf die ich den Verdacht auf die Viren gelegt habe, hat den Laufwerkbuchstaben F. PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Montag, 5. März 2007 17:44:40 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 5/03/2007 Anzahl der Einträge in den Antiviren-Datenbanken: 260428 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Ordner C:\ F:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 97460 Viren gefunden 0 Infizierte Objekte gefunden 0 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 01:47:58 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\Christian Homm\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Christian Homm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Christian Homm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Christian Homm\Lokale Einstellungen\Temp\ClamWin1.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Christian Homm\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Christian Homm\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Christian Homm\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Christian Homm\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.dat Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.ldb Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSys.dat Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSys.ldb Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\LiveStrm.dat Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\LiveStrm.ldb Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\Modules.dat Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\Modules.ldb Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\Protocol.dat Das Objekt ist gesperrt übersprungen C:\Programme\AntiVirenKit InternetSecurity\Firewall\Protocol.ldb Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{C4808C78-1530-41CC-87F9-2903A28C7C3D}\RP3\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\JET824F.tmp Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\JET855C.tmp Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\JET85BA.tmp Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\JET8C80.tmp Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\tmp000071e9\tmp00000000 Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\0a5a2b07c5dc5397cd7f27ee8e4a5edb_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\1862d787a17eb5a287a75696b0b41caa_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\2908549f0bb3506ad739d8b66989afc4_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\3e32db84b75201a402698b9cd8fd817f_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\4374aae3345dddb6029481ac93e95cad_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\580453011ce13002b811c41568155571_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\629662c98022b442cdb2650d47e62281_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\76659ccfa042d9b0791eca1d81b62699_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7df1412b82011fef8dac2b367fac3191_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\9c9ddaf584322980bd41c9d887afd0b6_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\9e329a658dcacbefd597f459819e7b54_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\a7e9d04ee9c00af1a78809121cea91d9_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\ae909356b082fb6049135c4630759686_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\aff3e8e802fa63fe8c3dad85d25ef986_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\cdaafbb01de32cbc812cbbb0d1824559_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\cf9b5f1ef715c9754f50e7074cd47e32_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f9ba6f87f612bae509097da8e6166537_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\fd5bd7ec1485badffcfd5c6249b53e6e_fa04e2dd-9e81-4be7-86f2-eaeeb2edad32 Das Objekt ist gesperrt übersprungen F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
|
|
|
|
|
|
06.03.2007, 10:38
Ehrenmitglied
Beiträge: 29434 |
#4
http://invisiblethings.org/tools/svv-1.0-public.zip
entpacke es nach c:\ , gehe auf start/ausfuehren, tippe dort cmd ein und druecke die Enter-Taste, es oeffnet sich die Dosbox danach bitte cd\ und enter druecken svv check >test.txt eingeben und enter druecken start test.txt und nochmal enter Jetzt sollte sich notepad oeffnen, den ganzen Inhalt bitte hierhin kopieren. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.03.2007, 13:43
...neu hier
Themenstarter Beiträge: 5 |
#5
Hallo,
Nun habe ich das Programm runtergeladen und werde nun die test.txt hier reinposten. Er scheint was gefunden zu haben, siehe SUSPECTED..... detected. Ich hoffe, es ist nichts Schlimmes, denn ich habe keine Lust, meine Platte nach 3 Wochen nochmal zu formatieren Gruß Christian verifying module: [ ntoskrnl.exe] 0%... - verifying module: [ ftdisk.sys] 10%... | verifying module: [ disk.sys] 14%... - verifying module: [ Ntfs.sys] 18%... / verifying module: [ NDIS.sys] 19%... - verifying module: [ TDI.SYS] 42%... / verifying module: [ tcpip.sys] 61%... | verifying module: [ afd.sys] 62%... - verifying module: [ ntdll.dll] 91%... / verifying module: [ kernel32.dll] 91%... - verifying module: [ PSAPI.DLL] 92%... \ verifying module: [ WS2_32.dll] 93%... | verifying module: [ ADVAPI32.dll] 95%... \ verifying module: [ USER32.dll] 96%... / ntoskrnl.exe (804d7000 - 806eba00)... suspected! (verdict = 5). ntdll.dll (7c910000 - 7c9c7000)... suspected! (verdict = 5). kernel32.dll (7c800000 - 7c906000)... suspected! (verdict = 5). SYSTEM INFECTION LEVEL: 5 0 - BLUE 1 - GREEN 2 - YELLOW 3 - ORANGE 4 - RED --> 5 - DEEPRED SUSPECTED modifications detected. System is probably infected! |
|
|
|
|
|
|
06.03.2007, 13:55
Ehrenmitglied
Beiträge: 29434 |
#6
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\ntoskrnl.exe C:\WINDOWS\system32\ntdll.dll C:\WINDOWS\system32\kernel32.dll poste hier die logs __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.03.2007, 18:05
...neu hier
Themenstarter Beiträge: 5 |
#7
Hallo Sabina,
nun, ich glaube ich brauche die Logs nicht zu posten, da alle Antivirenprogramme keinen Virus entdeckt haben. Daher denke ich, dass ich keinen Virus drauf habe  Trotzdem, wie schon gesagt, ich mache einmal einen Scan von der BootCD um zu sehen, ob sich da doch etwas versteckt oder nicht. Doch im Moment muss ich glaube ich nichts mehr tun, es scheint nämlich alles sauber zu sein  Gruß Christian P.S. Sollte ich einen weiteren Virenfund sichten, werde ich das natürlich mit einem Beitrag hier andeuten. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe gerade heute herausgefunden, dass in der pagefile.sys und hiberfil.sys meiner 160 GByte Samsung Festplatte ein gewisser "Trojan.KillCMOS" Virus steckt. Dies hat aber nicht mein Gdata Internet Security 2007 (neueste Virendefinitionen) gefunden, sondern das freeware tool "Clamwin". Meine Frage ist jetzt natürlich, mit welchem Programm ich wirklich sicher gehen kann, ob da ein Virus steckt oder nicht, da ein Freeware tool gegen ein Markenvirenprogramm antritt.
Bitte um schnelle Antwort!
Gruß Christian
P.S. Ich lege einen Hijackthis log bei, da es ja um die pagefile.sys geht. Bitte sagt mir auch noch, wenn ihr es wisst, ob es ein Virus im BIOS oder Arbeitsspeicher sein könnte.
Logfile of HijackThis v1.99.1
Scan saved at 19:27:43, on 04.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Active SMART\ActiveSMART.exe
C:\Programme\T-DSL Manager\DslMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-DSL Manager\DslMgrSvc.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.796\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Active SMART.lnk = C:\Programme\Active SMART\ActiveSMART.exe
O4 - Startup: T-DSL Manager.lnk = C:\Programme\T-DSL Manager\DslMgr.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170158759062
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F7794AB-DF4B-44E5-9D27-7C2E0A408416}: NameServer = 217.237.150.188 217.237.150.115
O17 - HKLM\System\CCS\Services\Tcpip\..\{C56AED1E-0EED-4332-83ED-0A843504A596}: NameServer = 212.19.48.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F7794AB-DF4B-44E5-9D27-7C2E0A408416}: NameServer = 217.237.150.188 217.237.150.115
O17 - HKLM\System\CS2\Services\Tcpip\..\{5F7794AB-DF4B-44E5-9D27-7C2E0A408416}: NameServer = 217.237.150.188 217.237.150.115
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe