Antivirus-Programm wurde gelöscht (aber nicht von mir) |
||
---|---|---|
#0
| ||
06.09.2007, 11:12
Member
Beiträge: 11 |
||
|
||
06.09.2007, 13:13
Member
Beiträge: 62 |
#2
Hallo,
in deinem logfile ist so nichts zu erkennen. Benenne die hijackthis.exe in z.B. abc.exe um und erstelle ein neues logfile (auch den Ordner umbennen!). Virenproggis verstecken sich oft vor dem Programm. Führe einen escan durch, wie in meiner Signatur verlinkt und poste das vollständige logfile. Halte dich bitte genau an diese Anleitung. Das Proggi ist nur zur Analyse und nicht zum entfernen. Bitte vorher auch Systemwiederherstellung deaktivieren. Gruss Felixx __________ *virustotal* *escan* |
|
|
||
06.09.2007, 14:46
Member
Themenstarter Beiträge: 11 |
#3
Ich habe ein neues Logfile mit hijackthis und escan laufen lassen.
hier die logfiles: Logfile of HijackThis v1.99.1 Scan saved at 13:18:31, on 06.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\Brother\ControlCenter3\brccMCtl.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe C:\Programme\klickTel\KSTART32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\oodag.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\MsiExec.exe C:\Programme\Brother\Brmfcmon\BrMfcmon.exe C:\Programme\G DATA InternetSecurity Trial\GUI\AVKIS.exe C:\Programme\G DATA InternetSecurity Trial\AVK\avk.exe C:\Programme\G DATA InternetSecurity Trial\Firewall\Admin.exe C:\Programme\G DATA InternetSecurity Trial\ASK\ask.exe C:\Programme\G DATA InternetSecurity Trial\AVKStatus\AVKStatus.exe C:\Programme\G DATA InternetSecurity Trial\Webfilter\AvkWeb.exe C:\Programme\G DATA InternetSecurity Trial\AVKKid\AVKKid.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Klaus\Desktop\aaa\abc.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity trial\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = C:\Programme\klickTel\KSTART32.EXE O4 - Startup: WPaper.lnk = C:\Programme\WPaper\WPaper.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe starting as "C:\bases\findmwav.bat" ---------- C:\RESULTS.TXT Thu Sep 06 13:48:49 2007 => File C:\WINDOWS\system32\ntoskrnl.exe infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken. Thu Sep 06 14:35:05 2007 => File C:\WINDOWS\system32\ntoskrnl.exe infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken. Thu Sep 06 14:37:25 2007 => File D:\Eigene Dateien\desktop.ini infected by "VB.CO.Leftover" Virus! Action Taken: No Action Taken. Thu Sep 06 13:47:48 2007 => System found infected with cws.loadbat Browser Hijacker (hp.htm)! Action taken: No Action Taken. Thu Sep 06 13:47:48 2007 => Offending file found: D:\word u. exel dokumente\refill\hp.htm Thu Sep 06 13:47:41 2007 => Object "NULLBYTE Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Sep 06 14:38:45 2007 => Total Objects Scanned: 76172 Thu Sep 06 14:38:45 2007 => Total Critical Objects: 5 Thu Sep 06 14:38:45 2007 => Total Disinfected Objects: 0 Thu Sep 06 14:38:45 2007 => Total Objects Renamed: 0 Thu Sep 06 14:38:45 2007 => Total Deleted Objects: 0 Thu Sep 06 13:34:13 2007 => Virus Database Date: 9/5/2007 Thu Sep 06 13:34:13 2007 => Virus Database Count: 404109 Thu Sep 06 13:34:35 2007 => Virus Database Date: 9/6/2007 Thu Sep 06 13:34:35 2007 => Virus Database Count: 404665 Thu Sep 06 13:40:42 2007 => Virus Database Date: 9/6/2007 Thu Sep 06 13:40:42 2007 => Virus Database Count: 404665 Thu Sep 06 14:38:45 2007 => Virus Database Date: 9/6/2007 Thu Sep 06 14:38:45 2007 => Virus Database Count: 404665 Thu Sep 06 14:39:52 2007 => Virus Database Date: 9/6/2007 Thu Sep 06 14:39:52 2007 => Virus Database Count: 404665 Mit freundlichem Gruß Henry Ich habe auch Cobmbofix und Hijackthis 2.0.2. laufen lassen Hier die logfiles ComboFix 07-08-30.3 - "Klaus" 2007-09-06 14:49:41.1 - NTFS x86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.622 [GMT 2:00] C:\WINDOWS\system32\chkdsk.exe not present ADS removed - C:\WINDOWS\system32\ntoskrnl.exe: Das System kann die angegebene Datei nicht finden. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOKUME~1\Klaus\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk C:\DOKUME~1\Klaus\Desktop\internet explorer.lnk C:\WINDOWS\exefld C:\WINDOWS\regedit.com C:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\taskmgr.com ((((((((((((((((((((((((( Files Created from 2007-08-06 to 2007-09-06 ))))))))))))))))))))))))))))))) 2007-09-06 14:49 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-09-06 13:30 287 --a------ C:\startmwav.bat 2007-09-06 13:30 <DIR> d-------- C:\bases 2007-09-06 13:29 153,600 --a------ C:\WINDOWS\R.COM 2007-09-06 13:29 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-09-06 13:26 19,148,216 --a------ C:\mwav.exe 2007-09-06 13:20 <DIR> d-------- C:\Programme\CCleaner 2007-09-06 13:04 <DIR> d-------- C:\WINDOWS\system32\ActiveScan 2007-09-06 13:01 <DIR> d-------- C:\DOKUME~1\Klaus\.housecall6.6 2007-08-30 15:59 <DIR> d-------- C:\DOKUME~1\Henry\ANWEND~1\Brother 2007-08-30 15:01 1,412 --a------ C:\WINDOWS\mozver.dat 2007-08-30 14:33 <DIR> d-------- C:\DOKUME~1\Henry\ANWEND~1\AdobeUM 2007-08-30 14:20 <DIR> d-------- C:\DOKUME~1\Henry\ANWEND~1\TrueCrypt 2007-08-30 14:19 188,672 --a------ C:\WINDOWS\system32\drivers\truecrypt.sys 2007-08-28 17:52 0 --a------ C:\WINDOWS\nsreg.dat 2007-08-28 17:04 <DIR> d-------- C:\Programme\WPaper 2007-08-28 16:39 <DIR> dr-h----- C:\DOKUME~1\Henry\Anwendungsdaten 2007-08-28 16:39 <DIR> dr------- C:\DOKUME~1\Henry\Startmen 2007-08-28 16:39 <DIR> dr------- C:\DOKUME~1\Henry\Favoriten 2007-08-28 16:39 <DIR> dr------- C:\DOKUME~1\Henry\Eigene Dateien 2007-08-28 16:39 <DIR> d--h----- C:\DOKUME~1\Henry\Netzwerkumgebung 2007-08-28 16:39 <DIR> d--h----- C:\DOKUME~1\Henry\Lokale Einstellungen 2007-08-28 16:39 <DIR> d--h----- C:\DOKUME~1\Henry\Druckumgebung 2007-08-28 16:39 <DIR> d-------- C:\DOKUME~1\Henry\Vorlagen 2007-08-25 17:56 2,138,624 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2007-08-25 17:46 <DIR> d-------- C:\Programme\WinTV 2007-08-25 15:14 40,400 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys 2007-08-25 15:14 20,096 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys 2007-08-25 15:13 <DIR> d-------- C:\WINDOWS\gear_dlls 2007-08-25 15:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA 2007-08-25 15:13 <DIR> d-------- C:\Programme\G DATA InternetSecurity Trial 2007-08-25 15:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\G DATA 2007-08-25 15:12 <DIR> d-------- C:\DOKUME~1\Klaus\ANWEND~1\InstallShield 2007-08-25 14:55 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-08-21 21:55 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2007-08-16 21:06 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2007-08-16 21:05 <DIR> d-------- C:\Programme\MSXML 6.0 2007-08-09 22:50 <DIR> d-------- C:\Programme\Hausverwaltung 2007-08-07 21:13 <DIR> d-------- C:\Programme\UniBuch 2007-08-07 06:48 <DIR> d-------- C:\WINDOWS\system32\Viewer 2007-08-07 06:48 <DIR> d-------- C:\WINDOWS\system32\Doerr 2007-08-07 06:48 <DIR> d-------- C:\Programme\Nebenkosten easy 2007-08-07 06:28 48,128 --------- C:\WINDOWS\AKDeInstall.exe 2007-08-07 06:28 <DIR> d-------- C:\Programme\Heizkosten easy (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-09-06 14:48 --------- d-------- C:\Programme\TAX 2007 2007-09-06 13:35 --------- d-------- C:\Programme\klickTel 2007-09-05 23:42 --------- d-------- C:\Programme\Quicken2006 2007-09-02 08:25 --------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\BDHTHELP 2007-08-26 09:50 --------- d-------- C:\Programme\Emule 2007-08-25 23:22 --------- d-------- C:\Programme\Wallpaper 2007-08-25 15:13 --------- d--h----- C:\Programme\InstallShield Installation Information 2007-08-25 15:10 --------- d-------- C:\Programme\Multi_Media 2007-08-25 13:28 --------- d-------- C:\Programme\TAX 2006 2007-08-21 22:05 --------- d-------- C:\Programme\TAX 2005 2007-08-21 22:05 --------- d-------- C:\Programme\TAX 2004 2007-08-14 16:26 --------- d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service 2007-07-29 11:55 --------- d-------- C:\Programme\DynGate 2007-07-21 13:39 --------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\Mp3tag 2007-07-17 21:29 --------- d-------- C:\Programme\PhotoFiltre 2007-07-11 11:18 --------- d-------- C:\Programme\Ages 2007-06-29 19:26 245408 --a------ C:\WINDOWS\system32\unicows.dll 2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll 2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe 2006-12-31 13:23 770751063 --a------ C:\Programme\Acronis.True.Image.Workstation.v.9.1.3854.German-RESTORE.rar ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVKTray"="C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe" [2007-01-23 14:15] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48] "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22] "SetDefPrt"="C:\Programme\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 19:02] "PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 17:39] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40] "IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 18:01] "ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [2006-04-10 15:58] "BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [2006-03-28 16:48] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-29 22:10] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 07:24 C:\WINDOWS\system32\Ati2mdxx.exe] "Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 03:12] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] [color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys R1 SSHDRV61;SSHDRV61;\??\C:\WINDOWS\system32\drivers\SSHDRV61.sys R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys R3 EMCR;EMCR;C:\WINDOWS\system32\DRIVERS\EMCR7SK.sys R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe R3 st3bus28;st3bus28;C:\WINDOWS\system32\DRIVERS\st3bus28.sys R3 st3mp28;st3mp28;C:\WINDOWS\system32\DRIVERS\st3mp28.sys S2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" S3 brfilt;Brother MFC-Filtertreiber;C:\WINDOWS\system32\Drivers\Brfilt.sys S3 BrSerWDM;Brother WDM-Treiber (seriell);C:\WINDOWS\system32\Drivers\BrSerWdm.sys S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);C:\WINDOWS\system32\Drivers\BrUsbMdm.sys S3 BrUsbScn;Brother MFC-Scannertreiber (USB);C:\WINDOWS\system32\Drivers\BrUsbScn.sys S3 mf;mf;C:\WINDOWS\system32\DRIVERS\mf.sys S3 PCD61X2;PCD61X2;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X2.sys S3 PCD61X3;PCD61X3;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X3.sys S3 PCD61X4;PCD61X4;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X4.sys S3 PCD61X5;PCD61X5;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X5.sys S3 PCD61X6;PCD61X6;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X6.sys S3 PCD61X7;PCD61X7;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X7.sys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - CATCHME Contents of the 'Scheduled Tasks' folder 2007-08-31 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-06 14:50:45 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... C:\WINDOWS\exefqd scan completed successfully hidden files: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa] "ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys" Completion time: 2007-09-06 14:51:15 C:\ComboFix-quarantined-files.txt ... 2007-09-06 14:51 --- E O F --- UND Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:52:00, on 06.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Brother\ControlCenter3\brccMCtl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe C:\Programme\klickTel\KSTART32.EXE C:\Programme\Brother\Brmfcmon\BrMfcmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\oodag.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\MsiExec.exe C:\WINDOWS\explorer.exe C:\Programme\Hijack This\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = C:\Programme\klickTel\KSTART32.EXE O4 - Startup: WPaper.lnk = C:\Programme\WPaper\WPaper.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 7153 bytes Dieser Beitrag wurde am 06.09.2007 um 14:58 Uhr von age.ef editiert.
|
|
|
||
06.09.2007, 15:11
Member
Beiträge: 694 |
#4
Hi,
sehr schlecht: Rootkit srosa gefunden (system 32\drivers\srosa.sys)! Neu aufsetzten ist wahrscheinlich das Beste... Ohne Gewähr (das die Kiste danach noch läuft!): Avenger http://virus-protect.org/artikel/tools/avenger.html Abgesicherter Modus! Input script manually (anhaken) kopiere in: View/edit script Zitat
Chris |
|
|
||
06.09.2007, 15:24
Member
Themenstarter Beiträge: 11 |
#5
Zitat Chris4You posteteIch komme nicht in den abgesicherten Modus Aber ich komme wohl nicht um ein neuaufsetzen rum. Gibt es da etwas zu beachten. Grade weil es ein Rootkit ist? Henry |
|
|
||
06.09.2007, 15:28
Member
Beiträge: 694 |
#6
Hi,
probier es mal im "normalen" Mode! Das sollte gehen... chris Ps.: Bei Erfolg gleich noch mal die Orgie mit combofix etc., Antivir installieren, einstellen wie hier: http://board.protecus.de/t23979.htm und full scann! |
|
|
||
06.09.2007, 18:52
...neu hier
Beiträge: 6 |
||
|
||
06.09.2007, 22:16
Member
Beiträge: 62 |
#8
Zitat Was ist denn so schlimm an diesen ROOTKIDS???Hier, kleine Lektüre ;-) http://de.wikipedia.org/wiki/Rootkit __________ *virustotal* *escan* |
|
|
||
Ich habe ein Problem.
Ich vermute ich habe mir einen Virus oder einen Trojaner eingefangen.
Das blöde aber ist, dass dieses Biest das Antivirenprogramm gelöscht hat.
Eine Neuinstalation bringt nichts, da die ausfürbaren Datein sofort wieder gelöscht werden.
Einen älteren Wiederherstellungspunkt nutzten macht der PC auch nicht mehr.
Ich habe schonmal hijackthis laufenlassen.
Anbei das Protokoll.
Ich hoffe jemand kann mir helfen dem Bösewicht auf die schliche zu kommen.
Vielen Dank schon erst mal.
Henry
Logfile of HijackThis v1.99.1
Scan saved at 11:05:03, on 06.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe
C:\Programme\klickTel\KSTART32.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klaus\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity trial\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = C:\Programme\klickTel\KSTART32.EXE
O4 - Startup: WPaper.lnk = C:\Programme\WPaper\WPaper.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe