Virus - total ! |
||
|---|---|---|
| #0
| ||
|
09.11.2007, 14:28
Member
Beiträge: 262 |
||
 
|
|
|
|
09.11.2007, 16:45
Member
 Beiträge: 694 |
#2
Hi,
da ist einiges faul: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat C:\WINDOWS\system32\zxrmblkx.exeIch habe die Dateien schon aufgenommen, bitte poste jeweils mit Filenamen die Ergebnisse des Onlinecanns (welcher Scanner erkennt das)? Ich nehme an, Du willst auch die Hotbar loswerden? (Wenn nicht die entsprechenden Einträge rausnehmen): Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
So, danach bitte noch mal ein neues HJ-Log und scanne mit Dr. Web: http://board.protecus.de/t29350.htm Poste beide Logs und auch das Log vom Avenger bei der Durchführung der Reinigung... Du solltet ein Antivirenprogramm installieren AVG oder Avira... Chris |
|
|
|
|
|
|
11.11.2007, 15:36
Member
Themenstarter Beiträge: 262 |
#3
Hallo
Hier der neue Log file Check. Es taucht aber immer noch dieses "Warning Spyware" Fenster auf. ..................................... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:34:38, on 11.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00F8006.dat O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe -- End of file - 1700 bytes Gruss Suzi |
|
|
|
|
|
|
11.11.2007, 16:05
Member
Themenstarter Beiträge: 262 |
#4
Beim Programm "Virustotal.com" oder bei Drweb - welche Datei sollte ich im Durschsuchen Fenster eintragen, ich weiss ja nicht welche Datei mit dem Virus infeziert ist. Er scannt nicht die ganze Festplatte C zB, nur eine einizelne Datei. was sollte ich einfügen. Ich habe Euch erstmal dieses Hijackthis bereinigt zukommenlassen.
Suzi |
|
|
|
|
|
|
12.11.2007, 07:27
Member
Beiträge: 694 |
#5
Hi,
bei Virustotal waren die beiden Dateien gedacht: C:\WINDOWS\system32\zxrmblkx.exe C:\WINDOWS\system32\gbtptpwt.dll und zusätzlich: C:\WINDOWS\system32\__c0092B7F.dat Poste unbedingt die Ergebnisse mit Filenamen (wie oben beschrieben). ------------ Wenn Du allerdings Avenger ausgeführt hast, dann sollten sie verschwunden sein. (Da bei sollte allerdings auch dieser Eintrag verschwunden sein, was er nicht ist: O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0092B7F.dat) Dr. Web scannt durchaus die gesamte Festplatte... Gehe wie von Arni beschrieben vor... Arbeite den Rest von http://board.protecus.de/t23188.htm ab - Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html) - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) Chris |
|
|
|
|
|
|
12.11.2007, 12:41
Member
Themenstarter Beiträge: 262 |
#6
Datei zxrmblkx.exe empfangen 2007.11.12 12:22:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt C:\WINDOWS\system32\zxrmblkx.exe Ergebnis: 21/32 (65.63%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.12.0 2007.11.12 Win-AppCare/Hotbar.255455 AntiVir 7.6.0.34 2007.11.12 ADSPY/Hotbar.Q Authentium 4.93.8 2007.11.10 - Avast 4.7.1074.0 2007.11.11 Win32:HotBar-C AVG 7.5.0.503 2007.11.11 Adware Generic2.AFT BitDefender 7.2 2007.11.12 Adware.Hotbar.DI CAT-QuickHeal 9.00 2007.11.10 AdWare.HotBar.bh (Not a Virus) ClamAV 0.91.2 2007.11.12 - DrWeb 4.44.0.09170 2007.11.12 - eSafe 7.0.15.0 2007.11.08 AdWare.Win32.HotBar. eTrust-Vet 31.2.5289 2007.11.12 - Ewido 4.0 2007.11.11 Adware.HotBar FileAdvisor 1 2007.11.12 - Fortinet 3.11.0.0 2007.10.19 Adware/Hotbar F-Prot 4.4.2.54 2007.11.10 W32/Adware.YYG F-Secure 6.70.13030.0 2007.11.12 - Ikarus T3.1.1.12 2007.11.12 not-a-virus:AdWare.Win32.HotBar.bw Kaspersky 7.0.0.125 2007.11.12 not-a-virus:AdWare.Win32.HotBar.bh McAfee 5160 2007.11.09 potentially unwanted program Adware-HotBar Microsoft 1.3007 2007.11.12 Adware:Win32/Hotbar NOD32v2 2653 2007.11.12 probably a variant of Win32/Adware.HotBar Norman 5.80.02 2007.11.09 W32/HotBar.KA Panda 9.0.0.4 2007.11.11 - Prevx1 V2 2007.11.12 - Rising 20.18.02.00 2007.11.12 - Sophos 4.23.0 2007.11.12 Hotbar Sunbelt 2.2.907.0 2007.11.09 Hotbar Symantec 10 2007.11.12 Adware.Hotbar TheHacker 6.2.9.124 2007.11.12 - VBA32 3.12.2.4 2007.11.11 AdWare.Win32.HotBar.bh VirusBuster 4.3.26:9 2007.11.11 - Webwasher-Gateway 6.0.1 2007.11.12 Ad-Spyware.Hotbar.Q weitere Informationen File size: 253952 bytes MD5: 5d662816433d02a2e7d183af5fe4beb7 SHA1: 47925a1fe492a8c8c9a97f24a2fcb67aeb091624 Datei __c0092B7F.dat empfangen 2007.11.12 12:34:26 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 20/32 (62.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: ------------------------------------- C:\WINDOWS\system32\__c0092B7F.dat Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.12.0 2007.11.12 - AntiVir 7.6.0.34 2007.11.12 TR/Dldr.Agen.ZV.1.B Authentium 4.93.8 2007.11.10 - Avast 4.7.1074.0 2007.11.11 - AVG 7.5.0.503 2007.11.11 Downloader.Small.AVQ BitDefender 7.2 2007.11.12 Trojan.Generic.70968 CAT-QuickHeal 9.00 2007.11.10 TrojanDownloader.ConHook.hl ClamAV 0.91.2 2007.11.12 - DrWeb 4.44.0.09170 2007.11.12 - eSafe 7.0.15.0 2007.11.08 suspicious Trojan/Worm eTrust-Vet 31.2.5289 2007.11.12 Win32/Darksma.FR Ewido 4.0 2007.11.11 - FileAdvisor 1 2007.11.12 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.10 W32/Downldr2.AILP F-Secure 6.70.13030.0 2007.11.12 Trojan-Downloader.Win32.ConHook.hl Ikarus T3.1.1.12 2007.11.12 Trojan-Downloader.Win32.ConHook.hl Kaspersky 7.0.0.125 2007.11.12 Trojan-Downloader.Win32.ConHook.hl McAfee 5160 2007.11.09 Vundo Microsoft 1.3007 2007.11.12 - NOD32v2 2653 2007.11.12 - Norman 5.80.02 2007.11.09 W32/ConHook.GT Panda 9.0.0.4 2007.11.11 Adware/PurityScan Prevx1 V2 2007.11.12 Trojan.Zlob Rising 20.18.02.00 2007.11.12 Trojan.DL.Win32.ConHook.hl Sophos 4.23.0 2007.11.12 Troj/Conhook-AK Sunbelt 2.2.907.0 2007.11.09 - Symantec 10 2007.11.12 Downloader TheHacker 6.2.9.124 2007.11.12 - VBA32 3.12.2.4 2007.11.11 Trojan-Downloader.Win32.ConHook.hl VirusBuster 4.3.26:9 2007.11.11 Trojan.DL.ConHook.CN Webwasher-Gateway 6.0.1 2007.11.12 Trojan.Dldr.Agen.ZV.1.B weitere Informationen File size: 10816 bytes MD5: 6d6d570974008aa3a98e09798adc8aa2 SHA1: 8f651a4eb76c062c7d03e5b127d381548589c610 packers: UPX packers: PE_Patch.UPX, UPX Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BD036893407CBFFB2A5300BD186D5A00FA7458A5 --------------- Diese Datei wurde niht gefunden: C:\WINDOWS\system32\gbtptpwt.dll Gruss Suzi |
|
|
|
|
|
|
12.11.2007, 12:57
Member
Beiträge: 694 |
#7
Hi,
du musst unbedingt das Avengerscript laufen lassen (siehe oben, Script bitte von hier unten)! Du hast immer noch die Hotbar drauf und einen Trojaner! Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|50dcca10 HKLM\Software\Microsoft\Windows\CurrentVersion\Run|pilnglnm HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HbTools Registry values to replace with dummy: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs Files to delete: C:\Programme\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe C:\Programme\HbTools\Bin\4.8.7.0\HbtHostIE.dll C:\Programme\HbTools\Bin\4.8.7.0\HbtSrv.exe C:\WINDOWS\system32\zxrmblkx.exe C:\WINDOWS\system32\gbtptpwt.dll C:\WINDOWS\system32\__c0092B7F.dat Folders to delete: C:\Programme\HbTools\Bin\4.8.7.0 Poste unbedingt auch die Ausgaben von Avenger! chris |
|
|
|
|
|
|
12.11.2007, 13:32
Member
Themenstarter Beiträge: 262 |
#8
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\cqmekbeq ******************* Script file located at: \??\C:\Program Files\hlcibcgg.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file C:\Programme\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe for deletion Deletion of file C:\Programme\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe failed! Could not process line: C:\Programme\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe Status: 0xc000003a Could not open file C:\Programme\HbTools\Bin\4.8.7.0\HbtHostIE.dll for deletion Deletion of file C:\Programme\HbTools\Bin\4.8.7.0\HbtHostIE.dll failed! Could not process line: C:\Programme\HbTools\Bin\4.8.7.0\HbtHostIE.dll Status: 0xc000003a Could not open file C:\Programme\HbTools\Bin\4.8.7.0\HbtSrv.exe for deletion Deletion of file C:\Programme\HbTools\Bin\4.8.7.0\HbtSrv.exe failed! Could not process line: C:\Programme\HbTools\Bin\4.8.7.0\HbtSrv.exe Status: 0xc000003a File C:\WINDOWS\system32\zxrmblkx.exe deleted successfully. File C:\WINDOWS\system32\gbtptpwt.dll not found! Deletion of file C:\WINDOWS\system32\gbtptpwt.dll failed! Could not process line: C:\WINDOWS\system32\gbtptpwt.dll Status: 0xc0000034 File C:\WINDOWS\system32\__c0092B7F.dat not found! Deletion of file C:\WINDOWS\system32\__c0092B7F.dat failed! Could not process line: C:\WINDOWS\system32\__c0092B7F.dat Status: 0xc0000034 Could not open folder C:\Programme\HbTools\Bin\4.8.7.0 for deletion Deletion of folder C:\Programme\HbTools\Bin\4.8.7.0 failed! Could not process line: C:\Programme\HbTools\Bin\4.8.7.0 Status: 0xc000003a Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|50dcca10 Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|50dcca10 failed! Status: 0xc0000034 Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|pilnglnm Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|pilnglnm failed! Status: 0xc0000034 Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HbTools Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HbTools failed! Status: 0xc0000034 Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
|
|
|
|
12.11.2007, 14:26
Member
Beiträge: 694 |
#9
Hi,
mach bitte noch mal ein HJ-Log! Hast Du Avenger im abgesicherten Modus laufen lassen? Avenger findet die Files nicht, oder kann sie nicht löschen. Wenn sie jetzt immer noch da sind, dann wird es interessant.... Bitte noch mal Combofix hinterherjagen: Combofix Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris |
|
|
|
|
|
|
12.11.2007, 15:25
Member
Themenstarter Beiträge: 262 |
#10
ComboFix 07-11-08.1 - SUZAN SHALABI 2007-11-12 14:48:37.2 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\SUZAN SHALABI\Eigene Dateien\download\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-10-12 bis 2007-11-12 )))))))))))))))))))))))))))))) . 2007-11-12 12:53 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-12 12:45 81,472 --a------ C:\WINDOWS\system32\rpteexbl.dll 2007-11-11 12:48 79,936 --a------ C:\WINDOWS\system32\tlmtgsug.dll 2007-11-09 18:27 <DIR> d-------- C:\WINDOWS\system32\VirtualExpander 2007-11-09 14:22 <DIR> d-------- C:\Programme\Trend Micro 2007-11-09 14:04 77,888 --a------ C:\WINDOWS\system32\yfeiwlij.dll 2007-11-09 13:38 77,888 --a------ C:\WINDOWS\system32\uridfavt.dll 2007-11-09 13:25 77,888 --a------ C:\WINDOWS\system32\wtybbkex.dll 2007-11-08 12:20 80,448 --a------ C:\WINDOWS\system32\olgyywqq.dll 2007-11-07 12:21 79,936 --a------ C:\WINDOWS\system32\voahvqvt.dll 2007-11-05 19:02 83,008 --a------ C:\WINDOWS\system32\vedfnaob.dll 2007-11-04 17:16 78,912 --a------ C:\WINDOWS\system32\xaiwahmw.dll 2007-11-03 18:01 <DIR> d-------- C:\Tivola 2007-11-03 17:17 81,472 --a------ C:\WINDOWS\system32\sdyiuggh.dll 2007-10-29 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\TuneUp Software 2007-10-29 15:38 <DIR> d-------- C:\Programme\TuneUp Utilities 2007 2007-10-29 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\ROBERT SHALABI\Anwendungsdaten\TuneUp Software 2007-10-29 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2007-10-29 15:38 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll 2007-10-29 15:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-11 14:24 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\Skype 2007-10-14 18:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster 2007-10-10 17:15 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\AdobeUM 2007-10-10 16:20 79,936 ----a-w C:\WINDOWS\system32\mbgvpstx.dll 2007-10-10 16:15 --------- d-----w C:\Dokumente und Einstellungen\ROBERT SHALABI\Anwendungsdaten\AdobeUM 2007-10-09 16:19 79,936 ----a-w C:\WINDOWS\system32\boorqtij.dll 2007-10-08 08:25 79,936 ----a-w C:\WINDOWS\system32\ajesvowf.dll 2007-10-05 19:31 79,936 ----a-w C:\WINDOWS\system32\mdagvpgd.dll 2007-10-04 07:54 79,936 ----a-w C:\WINDOWS\system32\ctfhgyhe.dll 2007-10-04 07:34 79,936 ----a-w C:\WINDOWS\system32\krqbmhdv.dll 2007-09-30 15:21 79,936 ----a-w C:\WINDOWS\system32\byrljlne.dll 2007-09-20 13:32 283,232 ----a-w C:\WINDOWS\system32\awtqq.dll 2007-09-20 08:02 23,552 ----a-w C:\WINDOWS\system32\xxyabax.dll 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2006-06-30 10:26 774,144 ----a-w C:\Programme\RngInterstitial.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2ae2d1fa-9dcd-49c4-af6b-1940d2054f63}] 2007-11-12 12:45 81472 --a------ C:\WINDOWS\system32\rpteexbl.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 03:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqq] C:\WINDOWS\system32\awtqq.dll 2007-09-20 14:32 283232 C:\WINDOWS\system32\awtqq.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyabax] xxyabax.dll 2007-09-20 09:02 23552 C:\WINDOWS\system32\xxyabax.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk backup=C:\WINDOWS\pss\Lexware Info Service.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY |
|
|
|
|
|
|
12.11.2007, 15:26
Member
Themenstarter Beiträge: 262 |
#11
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tbon] C:\Programme\TBONBin\tbon.exe /r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot S2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" S3 phil2vid;Philips VGA-Kamera (USB);C:\WINDOWS\system32\DRIVERS\philcam2.sys S3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a3c3cb4-03af-11db-bfa3-00132061f2e3}] \Shell\AutoRun\command - F:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{429b9829-02eb-11db-bf9f-00132061f2e3}] \Shell\AutoRun\command - F:\preinst.exe . Inhalt des "geplante Tasks" Ordners "2007-10-29 14:38:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2007-11-12 12:38:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-12 14:51:08 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-12 14:52:15 C:\ComboFix2.txt ... 2007-11-12 13:20 . --- E O F --- Das ist der Combo im Abgesicherten Modus und jetzt setzte ich den Avenger im Ab Mod. - bis gleich Suzi |
|
|
|
|
|
|
12.11.2007, 15:36
Member
Beiträge: 694 |
#12
Hi,
da sind jede Menge neuer Sachen drauf, wahrscheinlich vundo... Lass mal probehalber folgende Dateien onlinescannen und poste das Ergebnis: C:\WINDOWS\system32\yfeiwlij.dll C:\WINDOWS\system32\olgyywqq.dll C:\WINDOWS\system32\rpteexbl.dll Chris |
|
|
|
|
|
|
12.11.2007, 15:42
Member
Themenstarter Beiträge: 262 |
#13
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:58, on 12.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: {36f4502d-0491-b6fa-4c94-dcd9af1d2ea2} - {2ae2d1fa-9dcd-49c4-af6b-1940d2054f63} - C:\WINDOWS\system32\rpteexbl.dll O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8a2b2848eaca4216b2237966fce29887 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8a2b2848eaca4216b2237966fce29887 O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - Winlogon Notify: awtqq - C:\WINDOWS\system32\awtqq.dll O20 - Winlogon Notify: xxyabax - C:\WINDOWS\SYSTEM32\xxyabax.dll O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe -- End of file - 3019 bytes Hijack this aktuell |
|
|
|
|
|
|
12.11.2007, 15:44
Member
Themenstarter Beiträge: 262 |
#14
FIX CHECK - hijackthis
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:44:08, on 12.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe -- End of file - 1422 bytes |
|
|
|
|
|
|
12.11.2007, 15:45
Member
Beiträge: 694 |
#15
Hi,
hier ein vorläufiges Avengerscript (falls alles erkannt wird)... Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de chris |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:22:24, on 09.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hbtools\HBTV\HBTV.exe
C:\Programme\TBONBin\tbon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HbTools\Bin\4.8.7.0\HbtSrv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hbtools\HBTV\HBTV.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HbTools\Bin\4.8.7.0\HbtSrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.7.0\HbtHostIE.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" BOOT
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [pilnglnm] C:\WINDOWS\system32\zxrmblkx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [50dcca10] rundll32.exe "C:\WINDOWS\system32\gbtptpwt.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1612816764-2923948185-4025840653-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'ROBERT SHALABI')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8a2b2848eaca4216b2237966fce29887
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8a2b2848eaca4216b2237966fce29887
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! MahJong Solitaire - http://download2.games.yahoo.com/games/clients/y/mjst4_x.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www1.snapfish.de/SnapfishActivia.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/luxor_amun_rising/mjolauncher.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/diner_dash/DinerDash.1.0.0.80.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0092B7F.dat
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
--
End of file - 6324 bytes
Gruss Suzi