Wurm: Win32.WarezovThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
19.04.2007, 21:36
...neu hier
Beiträge: 7 |
||
|
||
19.04.2007, 21:53
Moderator
Beiträge: 7805 |
#2
Ein Combofix Report und eine Datfindbat liste waeren hier hilfreich.
http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.04.2007, 17:08
...neu hier
Themenstarter Beiträge: 7 |
#3
Hier der Combofix:
"Admin" - 07-04-29 16:55:34 Service Pack 2 ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Installler\" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\wpcap.dll C:\DOKUME~1\Admin\Desktop.\internet explorer.lnk C:\install.log C:\WINDOWS\system32\drivers\npf.sys ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\NPF -------\LEGACY_NPF ((((((((((((((((((((((((((((((( Files Created from 2007-03-28 to 2007-04-29 )))))))))))))))))))))))))))))))))) 2007-03-29 20:54 24,576 --a------ C:\WINDOWS\system32\wmplmspo.dll 2007-03-28 17:01 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-29 16:54 -------- d-------- C:\Programme\wlan quick-starter 2007-04-11 11:52 -------- d-------- C:\Programme\trillian 2007-04-11 11:47 74996 --a------ C:\WINDOWS\system32\perfc007.dat 2007-04-11 11:47 415470 --a------ C:\WINDOWS\system32\perfh007.dat 2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-13 22:48 -------- d-------- C:\Programme\icqlite 2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys 2007-03-07 20:58 -------- d-------- C:\Programme\google 2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll 2007-01-28 19:05 262144 --a------ C:\WINDOWS\system32\default_user_class.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {0124123D-61B4-456f-AF86-78C53A0790C5} C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SideWinderTrayV4"="C:\\PROGRA~1\\MICROS~4\\GAMECO~1\\Common\\SWTrayV4.exe" "Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe" "Logitech Utility"="Logi_MwX.Exe" "HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe" "mmtask"="C:\\Programme\\Musicmatch\\Musicmatch Jukebox\\mmtask.exe" "PrintPackDispatcher"="\"C:\\Programme\\G DATA PowerPDF\\Xpmail.exe\"" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "routcnf"="C:\\Programme\\DeTeWe\\TA 33 USB\\routcnf.exe" "Arcor Online"="" "ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay" "WLConfig"="\"C:\\Programme\\WLAN Monitor\\wlconfig.exe\" -autostart" "AVKTray"="\"C:\\Programme\\G DATA InternetSecurity\\AVKTray\\AVKTray.exe\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypmapi [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "appinit_dlls"="wmplmspo.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9086236e-c631-11db-81d9-004063c2839e}] Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe Shell\Open(&0)\command J:\Recycled\ctfmon.exe [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ec90a3e9-3eff-11d9-bbcd-ef36be8640a1}] Shell\AutoRun\command J:\RunGame.exe ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-29 17:05:53 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-29 17:06:36 C:\ComboFix-quarantined-files.txt ... 07-04-29 17:06 |
|
|
||
29.04.2007, 17:12
Moderator
Beiträge: 7805 |
#4
Diese DAteien solltest du im abgesicherten Modus umbenennen:
C:\WINDOWS\system32\wmplmspo.dll C:\WINDOWS\system32\drivers\mouhid.sys und nach einem neustart bei Jotti/VT testen. Diese EIntraege bitte noch fixen: O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O20 - AppInit_DLLs: wmplmspo.dll O20 - Winlogon Notify: crypmapi - C:\WINDOWS\system32\crypmapi.dll (file missing) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.04.2007, 17:17
...neu hier
Themenstarter Beiträge: 7 |
#5
und hier die datfindbat liste:
system 32: Verzeichnis von C:\WINDOWS\system32 29.04.2007 16:53 2.206 wpa.dbl 11.04.2007 11:47 401.064 perfh009.dat 11.04.2007 11:47 62.344 perfc009.dat 11.04.2007 11:47 415.470 perfh007.dat 11.04.2007 11:47 74.996 perfc007.dat 11.04.2007 11:47 966.250 PerfStringBackup.INI 04.04.2007 17:59 287.704 FNTCACHE.DAT 02.04.2007 14:21 428.032 swreg.exe 29.03.2007 20:54 24.576 wmplmspo.dll 17.03.2007 15:44 293.376 winsrv.dll 09.03.2007 12:24 123.392 xpsp3res.dll 08.03.2007 17:36 281.600 gdi32.dll 08.03.2007 17:36 40.960 mf3216.dll 08.03.2007 17:36 579.072 user32.dll 08.03.2007 17:32 1.843.712 win32k.sys 07.03.2007 22:36 12.619.736 MRT.exe 28.02.2007 18:02 2.059.904 ntkrnlpa.exe 28.02.2007 18:02 2.182.656 ntoskrnl.exe 15.02.2007 10:47 122.142 TZLog.log 05.02.2007 22:18 185.856 upnphost.dll 29.01.2007 10:58 60.416 tzchange.exe 28.01.2007 19:05 1.024 default_user_class.dat.LOG 28.01.2007 19:05 262.144 default_user_class.dat 23.01.2007 21:30 546.304 hhctrl.ocx 12.01.2007 22:51 4.348 d3d9caps.dat 12.01.2007 10:27 458.752 msfeeds.dll 12.01.2007 10:27 6.054.400 ieframe.dll 12.01.2007 10:27 132.608 extmgr.dll 12.01.2007 10:27 232.960 webcheck.dll 12.01.2007 10:27 3.580.416 mshtml.dll 12.01.2007 10:27 670.720 mstime.dll 12.01.2007 10:27 27.136 jsproxy.dll 12.01.2007 10:27 51.712 msfeedsbs.dll 12.01.2007 10:27 1.149.952 urlmon.dll 12.01.2007 10:27 822.784 wininet.dll 12.01.2007 10:27 477.696 mshtmled.dll 10.01.2007 18:42 1.040.384 ieframe.dll.mui 08.01.2007 20:04 105.984 url.dll 08.01.2007 20:04 102.400 occache.dll 08.01.2007 20:03 193.024 msrating.dll 08.01.2007 20:02 1.823.744 inetcpl.cpl 08.01.2007 20:02 266.752 iertutil.dll 08.01.2007 20:02 44.544 iernonce.dll 08.01.2007 20:02 230.400 ieaksie.dll 08.01.2007 20:02 384.000 iedkcs32.dll 08.01.2007 20:02 153.088 ieakeng.dll 08.01.2007 20:02 383.488 ieapfltr.dll 08.01.2007 20:02 161.792 ieakui.dll 08.01.2007 20:01 17.408 corpol.dll 08.01.2007 20:00 124.928 advpack.dll 08.01.2007 19:08 56.832 ie4uinit.exe 08.01.2007 19:08 13.824 ieudinit.exe systemtemp: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B0C4-C298 Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp 29.04.2007 16:55 16.384 Perflib_Perfdata_87c.dat 29.04.2007 16:55 16.384 Perflib_Perfdata_888.dat 29.04.2007 16:54 16.384 Perflib_Perfdata_a3c.dat 3 Datei(en) 49.152 Bytes 0 Verzeichnis(se), 73.972.080.640 Bytes frei system: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B0C4-C298 Verzeichnis von C:\WINDOWS 29.04.2007 16:53 1.692.671 WindowsUpdate.log 29.04.2007 16:53 159 wiadebug.log 29.04.2007 16:53 50 wiaservc.log 29.04.2007 16:52 0 0.log 29.04.2007 16:52 2.048 bootstat.dat 29.04.2007 16:51 32.540 SchedLgU.Txt 29.04.2007 16:45 783.325 setupapi.log 21.04.2007 03:52 86.528 catchme.exe 19.04.2007 21:43 118.254 iis6.log 19.04.2007 21:43 259.707 comsetup.log 19.04.2007 21:43 1.374 imsins.log 19.04.2007 21:43 292.199 tsoc.log 19.04.2007 21:43 42.091 ocmsn.log 19.04.2007 21:43 156.943 ntdtcsetup.log 19.04.2007 21:43 13.967 KB931784.log 19.04.2007 21:43 373.734 ocgen.log 19.04.2007 21:43 38.069 msgsocm.log 19.04.2007 21:43 746.553 FaxSetup.log 19.04.2007 21:43 1.374 imsins.BAK 19.04.2007 21:43 12.286 KB931261.log 19.04.2007 21:43 12.792 KB930178.log 19.04.2007 21:43 67.067 updspapi.log 19.04.2007 21:43 12.491 KB932168.log 19.04.2007 20:28 1.077.218 ntbtlog.txt 11.04.2007 17:54 32.768 AdrBook.pab 04.04.2007 15:51 12.436 KB925902.log 28.03.2007 17:01 192.672 setupact.log 15.03.2007 21:52 12.057 KB929338.log 08.03.2007 22:41 52.744 wmsetup.log 08.03.2007 20:41 1.678 Wudf01000Inst.log 08.03.2007 20:35 396 wmsetup10.log 08.03.2007 20:33 116 NeroDigital.ini 18.02.2007 10:53 46 hmview.ini 17.02.2007 20:55 1.334 KB829558.log 17.02.2007 20:55 32.523 KB893803v2.log 15.02.2007 10:50 20.077 KB927779.log 15.02.2007 10:49 17.054 KB927802.log 15.02.2007 10:49 16.736 KB928255.log 15.02.2007 10:48 13.226 KB924667.log 15.02.2007 10:47 25.748 KB931836.log 15.02.2007 10:47 15.495 KB926436.log 15.02.2007 10:46 10.543 KB928090-IE7.log 15.02.2007 10:46 11.886 KB918118.log 15.02.2007 10:45 10.604 KB928843.log 01.02.2007 13:26 25.601 CSTBox.INI 28.01.2007 18:18 1.281 KB910998.log 28.01.2007 18:18 2.274 KB902344.log 28.01.2007 18:18 1.219 KB891122.log 21.01.2007 15:53 1.574 ATIWDM.LOG 21.01.2007 15:26 16 wininit.ini 21.01.2007 12:20 737.280 iun6002.exe 16.01.2007 23:04 0 nsreg.dat 11.01.2007 20:53 3.614 KB929969.log tmp: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B0C4-C298 Verzeichnis von C:\WINDOWS\Temp 29.04.2007 16:55 0 AVP82.tmp 29.04.2007 16:55 2.988.455 AVP81.tmp 29.04.2007 16:53 0 JETD30F.tmp 29.04.2007 16:53 0 JETD225.tmp 29.04.2007 16:53 0 JETD188.tmp 29.04.2007 16:53 0 JETB843.tmp 6 Datei(en) 2.988.455 Bytes 0 Verzeichnis(se), 73.972.043.776 Bytes frei down Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: B0C4-C298 Verzeichnis von C:\WINDOWS\Downloaded Program Files 01.07.2004 12:32 65 desktop.ini 07.03.2003 12:25 114.600 IDropDEU.dll 14.02.2003 11:34 114.848 IDropENU.dll 14.02.2003 11:32 283.296 IDrop.ocx 25.07.2002 17:13 24.576 dwusplay.dll 25.07.2002 17:13 196.608 dwusplay.exe 25.07.2002 17:05 172.032 isusweb.dll 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 9 Datei(en) 907.884 Bytes 0 Verzeichnis(se), 73.972.043.776 Bytes frei Ich hoffe ich habe jetzt alles! Noch ein paar Infos: Betriebssystem Windows XP Home Virenprogramm: GData Internetsecurity 2007 Das Virenprogramm hat den Wurm in einigen Dateien des system32 Ordners entdeckt und sie auch entfernt. Im Überprüfungsprotokoll habe ich dann aber auch gesehen, dass er sich zu dem im System Volume Information Ordner befindet. Aus einem anderen Forum habe ich erfahren, dass ich deswegen die Systemwiederherstellung ausschalten sollte. Das habe ich auch gemacht. Seitdem meldet mir GData nur noch, dass versucht wird auf ein infizierte Datei zuzugreifen ("C:\WINDOWS\system32\wmplmspo.dll"). Da die Datei permanent von irgendeinem Prozess verwendet wird, kann ich sie nicht löschen. Lediglich den Zugriff kann ich verweigern. So, das ist alles, was ich dazu sagen kann. Vielen Dank schon mal Dieser Beitrag wurde am 29.04.2007 um 17:25 Uhr von hankjerdin editiert.
|
|
|
||
29.04.2007, 17:25
Moderator
Beiträge: 7805 |
||
|
||
29.04.2007, 17:34
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
29.04.2007, 17:44
Moderator
Beiträge: 7805 |
#8
Hijackthis starten und scan only waehlen. Dann kannst du vor den entsprechenden Eintraegen ein Kaestchen anhaken und dann fix checked druecken
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.04.2007, 18:27
...neu hier
Themenstarter Beiträge: 7 |
#9
So,
Die Einträge sind gefixt und die Dateien umbenannt. Die mouhid.sys Datei ist virenfrei, die andere Datei kann ich irgendwie nicht hochladen. Aber wenn ich meinen Scanner drüberlaufen lasse kommt halt der o.g. Wurm bei raus. |
|
|
||
29.04.2007, 19:04
Moderator
Beiträge: 7805 |
#10
Also Datei loeschen. Die mouhid.sys lasse noch umbenannt in dem Ordner, und schau, ob alles noch fehlerfrei funktioniert.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.04.2007, 22:56
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
Ich habe mir den o.g. Wurm über ICQ eingefangen und bitte dringends um Hilfe. Ich bin auf diesem Gebiet nicht gerade bewandert, aber den LogFile habe ich schon mal:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:36:13, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\G DATA PowerPDF\Xpmail.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\G DATA InternetSecurity\AVK\Avk.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Installler\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [PrintPackDispatcher] "C:\Programme\G DATA PowerPDF\Xpmail.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WLConfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O20 - AppInit_DLLs: wmplmspo.dll
O20 - Winlogon Notify: crypmapi - C:\WINDOWS\system32\crypmapi.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
--
End of file - 7707 bytes
Vielen Dank schon mal... MFG Jan