Home » Spyware & Browser Hijacker Support Forum » Wie bekomme ich Trojaner "Security Center" weg ? » Themenansicht
Wie bekomme ich Trojaner "Security Center" weg ? |
||
|---|---|---|
| #0
| ||
|
28.06.2007, 14:34
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
28.06.2007, 15:43
Moderator
Beiträge: 7805 |
#2
Dich hat das selbe erwischt, wie beim ersten Mal hier im Forum. Meine Frage daher, von wo hast du das letzte Mal etwas installiert? Einen Codec oder soetwas in der Art. Hier hilft noch kein Smitfraudfix, da die Version recht neu zu sein scheint. Darum ist die Info, wo du dir diesen "Codec" eingefangen hast durchaus wichtig.
Bitte poste noch ein Combofix Report: http://virus-protect.org/artikel/tools/combofix.html __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
28.06.2007, 16:21
...neu hier
Themenstarter Beiträge: 9 |
#3
Hallo!
Meinst du den Beitrag vom "Virus Burst" ? Damals weiß ich leider nicht mehr wo ich mir den eingefangen habe. Dieses mal... Naja schwer zu sagen wer sich wo, was installiert hat. Ein Kollege hat sich laut Symantec Client Security den Trojaner Vundu eingefangen, wusste aber nicht woher. Laut Symantec war die Datei lol.dll betroffen. Habe mir das Protokoll am Webserver angeschaut und rausgefunden, dass die Datei von hier kommt http://89.188.16.15/ths74/lol.dll In der selben Sekunde wurde auch http://82.98.68.239/get.htm aufgerufen. Vielleicht kannst du damit was anfangen, aufrufen möchte ich diese Seiten ungern. Naja, und dann hat es angefangen und innerhalb von 5 Minuten hatten 6 weitere PCs Virenmeldungen "Trojan Vundo". Habe dann Cleanup, Smithfraudfix auf allen Rechnern angewendet und alles war in Ordnung bis auf 2 PCs bei denen "Security Center" aufgetaucht ist. Dieser Beitrag wurde am 29.06.2007 um 09:00 Uhr von dieandi editiert.
|
|
|
|
|
|
|
28.06.2007, 16:33
Moderator
Beiträge: 7805 |
#4
Ja, das ist die Standardadresse fuer einen Vundo. Poste bitte das Combofix log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.06.2007, 09:01
...neu hier
Themenstarter Beiträge: 9 |
#5
Combofix schließt nicht ab, bleibt bei ...Almost Done. A report would be produced, irgendwie hängen. Hier das was abgespeichert wurde, hoffe es reicht...
07-06-28 16:12:23,75 Service Pack 2 ComboFix 06.09.14 - Running from: H:\Programme\Viren und Trojaner\Programme Virus Burst entfernen ((((((((((((((((((((((((((((((( Files Created from 2007-05-13 to 2007-06-13 )))))))))))))))))))))))))))))))))) 2007-06-25 14:31 1,152 --a------ C:\pmcubosf2.exe 2007-06-21 08:26 36,631 --a------ C:\pmcubosf3.exe 2007-06-20 14:10 31,587 --a------ C:\pmcubosf1.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-28 11:12 -------- d-------- C:\Programme\Symantec AntiVirus 2007-06-13 13:15 -------- d-------- C:\Programme\Ultimate Fixer 2007-06-13 09:33 -------- d-------- C:\Programme\CleanUp! (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\"" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "NWTRAY"="NWTRAY.EXE" "Adobe Version Cue CS2"="\"C:\\Programme\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe\"" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe" "gtcfaxaz.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\gtcfaxaz.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="" "{8A61098D-612B-4EF2-943D-64E920684061}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "CompatibleRUPSecurity"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" |
|
|
|
|
|
|
29.06.2007, 09:54
Moderator
Beiträge: 7805 |
#6
Bring bitte einmal dein Hijackthis und dein Combofix auf den neusten stand. Deine Versionen sind "Asbach"
 http://board.protecus.de/t23187.htm Danach mit den aktuellen Versionen die Reporte neu erstellen und posten. Erst den Combofix Report erstellen! __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
29.06.2007, 15:18
...neu hier
Themenstarter Beiträge: 9 |
#7
ComboFix 07-06-18.2 - H:\Programme\Viren und Trojaner\Programme Virus Burst entfernen\ComboFix.exe
"G.S." - 2007-06-29 13:06:26 - Service Pack 2 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-28 to 2007-06-29 ))))))))))))))))))))))))))))))) 2007-06-29 11:21 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-25 14:31 1,152 --a------ C:\pmcubosf2.exe 2007-06-21 08:26 36,631 --a------ C:\pmcubosf3.exe 2007-06-20 14:10 31,587 --a------ C:\pmcubosf1.exe 2007-06-18 12:30 <DIR> d-------- C:\WINDOWS\system32\pmcubosf 2007-06-13 13:15 <DIR> d-------- C:\Programme\Ultimate Fixer 2007-06-13 09:40 <DIR> d-------- C:\sUBs 2007-06-12 17:21 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten 2007-06-12 15:16 57,344 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\gtcfaxaz.exe 2007-06-12 14:13 22,016 --a------ C:\WINDOWS\system32\wintuh32.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-29 13:12:44 -------- d-----w C:\Programme\Symantec AntiVirus 2007-06-29 13:12:43 -------- d-----w C:\DOKUME~1\GERHAR~1\ANWEND~1\OpenOffice.org2 ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [2001-03-02 03:02] {4D25F921-B9FE-4682-BF72-8AB8210D6D75}=C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll [2005-09-08 19:50] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 21:42] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 19:48] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-31 23:05] "NWTRAY"="NWTRAY.EXE" [2002-03-12 01:37 C:\WINDOWS\system32\nwtray.exe] "Adobe Version Cue CS2"="C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 16:53] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2004-04-02 13:57] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-04-02 14:05] "gtcfaxaz.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtcfaxaz.exe" [2007-06-12 15:16] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 16:00] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2001-06-26 20:48] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "CompatibleRUPSecurity"=1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="shdocvw.dll" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnkjif] opnkjif.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wintuh32] wintuh32.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 nwv1_0 ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-29 15:14:19 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-29 15:14:39 --- E O F --- Logfile of HijackThis v1.99.1 Scan saved at 15:15:59, on 29.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe C:\WINDOWS\system32\cusrvc.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\system32\NWTRAY.EXE C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtcfaxaz.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\TEMP\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=DN R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = mailserver:80 R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [gtcfaxaz.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtcfaxaz.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: opnkjif - opnkjif.dll (file missing) O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\SYSTEM32\wintuh32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe Dieser Beitrag wurde am 29.06.2007 um 16:17 Uhr von dieandi editiert.
|
|
|
|
|
|
|
29.06.2007, 21:17
Moderator
Beiträge: 7805 |
#8
Teste bitte diese Dateien bei Jotti oder Virustotal
2007-06-25 14:31 1,152 --a------ C:\pmcubosf2.exe 2007-06-21 08:26 36,631 --a------ C:\pmcubosf3.exe 2007-06-20 14:10 31,587 --a------ C:\pmcubosf1.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtcfaxaz.exe C:\WINDOWS\SYSTEM32\wintuh32.dll SChau bitte auch noch, was sich in diesem Ordner befindet: 2007-06-18 12:30 <DIR> d-------- C:\WINDOWS\system32\pmcubosf Dann hake bitte noch folgende Dinge in Hijackthis an und druecke fix checked: R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll O4 - HKLM\..\Run: [gtcfaxaz.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtcfaxaz.exe O20 - Winlogon Notify: opnkjif - opnkjif.dll (file missing) O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\SYSTEM32\wintuh32.dll Starte neu und schaue, ob die Eintraege verschwunden sind. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
02.07.2007, 12:49
Moderator
Beiträge: 7805 |
#9
Lade dir bitte ein neues Combofix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe herunter. Deine Version ist leicht veraltet! Es gilt neues Combofix und Hijackthis Log!
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
02.07.2007, 13:12
...neu hier
Themenstarter Beiträge: 9 |
#10
Hallo!
Habe vorhin geschrieben welche Dateien ich gefunden habe und welche nicht, jetzt ist der Post verschwunden.... interessant.... Meine Version ist von letzten Freitag, aber ich kann Combofix gerne nochmal runterladen. Ich poste die neuen Logfiles....... |
|
|
|
|
|
|
02.07.2007, 13:19
Ehrenmitglied
 Beiträge: 6028 |
#11
Zuerst von H:\Programme\Viren und Trojaner\Programme Virus Burst entfernen
Combofix entfernen Der neue zum Desktop runterladen __________ MfG Argus |
|
|
|
|
|
|
02.07.2007, 13:42
Moderator
Beiträge: 7805 |
#12
Ich hatte die Postings geloescht, da nicht neu und durch die Reporte zieht das den Thread so in die Laenge. Ich wehe dann ja schon, was da ist und was nicht.
Wichtig ist, das du Combofix von bleepingcomputer laedst, da der andere Link derzeit nur eine Alte Version anbietet. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
10.07.2007, 16:48
...neu hier
Themenstarter Beiträge: 9 |
#13
Spät aber doch, hier das aktuelle Combo Fix File.
2007-07-10 16:35:04 - ComboFix 07-07-10.1 - Service Pack 2 (((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\urqnlmn.dll C:\WINDOWS\system32\wintuh32.dll C:\WINDOWS\system32\xbadd.bak1 C:\WINDOWS\system32\xbadd.bak2 C:\WINDOWS\system32\xbadd.ini C:\WINDOWS\system32\ddabx.dll C:\WINDOWS\system32\yaywvsr.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Ultimate Fixer C:\WINDOWS\system32\scchk32.exe.bak ((((((((((((((((((((((((( Files Created from 2007-06-10 to 2007-07-10 ))))))))))))))))))))))))))))))) 2007-06-29 11:21 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-06-25 14:31 1,152 --a------ C:\pmcubosf2.exe 2007-06-21 08:26 36,631 --a------ C:\pmcubosf3.exe 2007-06-20 14:10 31,587 --a------ C:\pmcubosf1.exe 2007-06-18 12:30 <DIR> d-------- C:\WINDOWS\system32\pmcubosf 2007-06-13 09:40 <DIR> d-------- C:\sUBs 2007-06-12 17:21 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten 2007-06-12 15:16 57,344 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\gtcfaxaz.exe (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-10 14:37:23 -------- d-----w C:\Programme\Symantec AntiVirus 2007-07-10 06:32:50 -------- d-----w C:\DOKUME~1\GERHAR~1\ANWEND~1\OpenOffice.org2 ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2001-03-02 03:02 37808 --a------ C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4D25F921-B9FE-4682-BF72-8AB8210D6D75}] 2005-09-08 19:50 90112 --a------ C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 21:42] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 19:48] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-31 23:05] "NWTRAY"="NWTRAY.EXE" [2002-03-12 01:37 C:\WINDOWS\system32\nwtray.exe] "Adobe Version Cue CS2"="C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 16:53] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2004-04-02 13:57] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-04-02 14:05] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 16:00] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2001-06-26 20:48] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "CompatibleRUPSecurity"=1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="shdocvw.dll" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnkjif] opnkjif.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 nwv1_0 ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-10 16:37:07 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-10 16:38:33 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-07-10 16:38 C:\ComboFix2.txt ... 2007-07-02 12:34 C:\ComboFix3.txt ... 2007-06-29 15:14 --- E O F --- ....................... Quarantied files wurden auch erstellt, zur Sicherheit poste ich das auch. Code 2007-06-12 14:13 22016 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\wintuh32.dll.virund hier das HiJack File: Logfile of HijackThis v1.99.1 Scan saved at 16:45, on 2007-07-10 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe C:\WINDOWS\system32\cusrvc.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\system32\NWTRAY.EXE C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\Dokumente und Einstellungen\Gerhard Schi\Desktop\von Andrea HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=DN R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///G:/WWW/INTRANET/INDEX.HTM R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = mailserver:80 R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: opnkjif - opnkjif.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe |
|
|
|
|
|
|
11.07.2007, 11:35
Ehrenmitglied
Beiträge: 6028 |
#14
Entferne auf C:\Qoobox Papierkorb leeren
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O20 - Winlogon Notify: opnkjif - opnkjif.dll (file missing) klicke:Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Files to delete: C:\pmcubosf2.exe C:\pmcubosf3.exe C:\pmcubosf1.exe C:\WINDOWS\system32\pmcubosf C:\DOKUME~1\ALLUSE~1\ANWEND~1\gtcfaxaz.exe Und bitte das log von Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen Dein Java software ist veraltet,download jre-6u2-windows-i586-p.exe Srcolle runter nach ---->Java Runtime Environment (JRE) 6u2 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe” __________ MfG Argus |
|
|
|
|
|
|
12.07.2007, 10:06
...neu hier
Themenstarter Beiträge: 9 |
#15
Hallo!
Danke, aber der Satz ist mir etwas unklar "Und bitte das log von Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen" Log von Log? Habe die Dateien in Avenger eingefügt und alles war erfolgreich. Soll ich noch etwas tun außer Java runterladen ? Falls du gemeint hast, dass ich das Log File posten soll, hier ist es Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jmwsvemi ******************* Script file located at: \??\C:\hyypvgeb.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\pmcubosf2.exe deleted successfully. File C:\pmcubosf3.exe deleted successfully. File C:\pmcubosf1.exe deleted successfully. Error: C:\WINDOWS\system32\pmcubosf is a folder, not a file! Deletion of file C:\WINDOWS\system32\pmcubosf failed! Could not process line: C:\WINDOWS\system32\pmcubosf Status: 0xc00000ba File C:\DOKUME~1\ALLUSE~1\ANWEND~1\gtcfaxaz.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. Konnte mir glaube ich gerade selber helfen: Habe einfach geschrieben Folders to delete: C:\WINDOWS\system32\pmcubosf und es hat funktioniert! Dieser Beitrag wurde am 12.07.2007 um 10:33 Uhr von dieandi editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe auf mehreren Rechnern im Netzwerk eine Bedrohung, denke Trojaner. Leider konnte ich nicht rausfinden wie er heißt. Es taucht immer die Meldung auf "Virus gefunden" und dann ein Fenster "Security Center" mit verschiedenen Programmen die man sich downloaden soll. Klickt man auf den Link hängt sich der Explorer auf.
Das Security Center schaut eigentlich aus als wäre es von Microsoft, ist es aber nicht.
Hier das HiJack Log file von einem befallenen Rechner, gerne poste ich auch noch andere Informationen.
Habe bis jetzt nur gute Erfahrungen mit diesem Forum gemacht, hoffe dass es dieses Mal auch so gut klappt !
Liebe Grüße Andrea
Logfile of HijackThis v1.97.7
Scan saved at 14:27:22, on 28.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\system32\cusrvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtcfaxaz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Internet Explorer\iexplore.exe
H:\Programme\Viren und Trojaner\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=DN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = mailserver:80
R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Programme\MyWaySA\SrchAsDe\deSrcAs.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [gtcfaxaz.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtcfaxaz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab