Trojaner, Malware-befall, bitte mal anschauen |
||
---|---|---|
#0
| ||
04.01.2008, 13:37
...neu hier
Beiträge: 6 |
||
|
||
04.01.2008, 13:45
Ehrenmitglied
Beiträge: 1441 |
#2
««
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK! "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" Windows-CCHook-Service --------- Start --> Ausführen --> reinkopieren sc delete Windows-CCHook-Service (wenn eine Fehlermeldung kommt...ignorieren) --> klicke dann O.K. ---------- « poste die daten von datfindbat (1 Monat von jedem log reicht) http://www.virus-protect.org/datfindbat.html «» poste das log von Combofix http://www.virus-protect.org/artikel/tools/combofix.html »» wende sdfix im abgesicherten modus an - und poste hier den Report http://www.virus-protect.org/artikel/tools/sdfix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
04.01.2008, 14:12
...neu hier
Themenstarter Beiträge: 6 |
#3
hallo
ich komme zwar in das Auswahlmenü um den gesicherten Modus zu starten, dieser Startet aber nicht!!! . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C18-3977 Verzeichnis von C:\WINDOWS\system32 04.01.2008 13:53 436.668 perfh009.dat 04.01.2008 13:53 70.240 perfc009.dat 04.01.2008 13:53 453.470 perfh007.dat 04.01.2008 13:53 82.896 perfc007.dat 04.01.2008 13:53 1.057.934 PerfStringBackup.INI 04.01.2008 13:48 81.858 nvapps.xml 03.01.2008 18:54 749 sapi.cpl.manifest 03.01.2008 18:54 749 wuaucpl.cpl.manifest 03.01.2008 18:54 749 cdplayer.exe.manifest 03.01.2008 18:54 749 ncpa.cpl.manifest 03.01.2008 18:54 749 nwc.cpl.manifest 03.01.2008 11:46 2.262 wpa.dbl 01.01.2008 21:41 5.374 ban_list.txt 26.12.2007 20:22 153.976 FNTCACHE.DAT 21.12.2007 22:10 9.728 BASSMOD.dll 10.12.2007 17:30 2.321.408 TUKernel.exe 19.07.2007 23:57 267.112 xactengine2_9.dll 04.08.2004 00:57 198.144 certcli.dll 2497 Datei(en) 560.488.437 Bytes 0 Verzeichnis(se), 20.431.835.136 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C18-3977 Verzeichnis von C:\DOKUME~1\Matthias\LOKALE~1\Temp 04.01.2008 14:01 122.474 datfind.txt 04.01.2008 14:01 13.032 WcesView.log 04.01.2008 13:48 468 WCESCOMM.LOG 04.01.2008 13:48 117.675 WCESLog.log 04.01.2008 13:48 16.384 ~DF34A5.tmp 04.01.2008 13:48 16.384 ~DFCA90.tmp 03.01.2008 19:46 319.926 av7.jpg 03.01.2008 19:46 1.853 av7.reg 03.01.2008 14:50 0 Mah2B.tmp 03.01.2008 14:12 88.928 kl-install-2008-01-03-14-11-08.log 03.01.2008 14:11 17.109 caevents.log 03.01.2008 14:11 0 kleaner.log 03.01.2008 14:09 4.844 SAV_INST.LOG 03.01.2008 14:02 123 CFG10.tmp 01.01.2008 22:22 0 ubi1848.tmp 01.01.2008 22:20 0 ubi1846.tmp 01.01.2008 21:43 888 530e5150.avp 31.12.2007 15:23 923 TWAIN.LOG 31.12.2007 15:23 3 Twain001.Mtx 31.12.2007 15:23 156 Twunk001.MTX 31.12.2007 15:07 0 ppt4C.tmp 31.12.2007 14:36 43.888 java_install_reg.log 29.12.2007 14:24 0 6h036.tmp 29.12.2007 14:21 0 fn721.tmp 29.12.2007 14:18 0 nyn1D.tmp 29.12.2007 03:25 0 99zFC.tmp 29.12.2007 02:27 0 icg75.tmp 29.12.2007 02:20 219.061 unplug-1.6.00-fx.xpi 29.12.2007 02:19 122.496 mxg7xbd8.xpi 29.12.2007 02:14 0 nm949.tmp 27.12.2007 01:25 0 h5fCA.tmp 27.12.2007 00:47 0 azk7C.tmp 27.12.2007 00:41 0 lz861.tmp 27.12.2007 00:41 0 75q5C.tmp 27.12.2007 00:39 0 kcv52.tmp 27.12.2007 00:32 0 va830.tmp 24.12.2007 16:41 0 CacheInfo.dnl 24.12.2007 12:15 0 Twunk002.MTX 24.12.2007 11:03 3.649 i4j_nlog_2 24.12.2007 11:03 4.608 i4jdel0.exe 22.12.2007 15:32 0 u99128.tmp 22.12.2007 14:55 0 h6o11C.tmp 22.12.2007 14:52 0 r31110.tmp 22.12.2007 13:41 12.637 8h6brqd8.pdf 22.12.2007 11:08 2 MSIf5090.LOG 03.11.2007 15:00 455.600 _isA.exe 30.09.2006 08:22 121.064 set8.tmp 17.02.2006 16:55 143.360 SSUPDATE.EXE 11.04.2001 17:28 54.784 set61.tmp 11.04.2001 17:28 54.784 set62.tmp 50 Datei(en) 1.957.103 Bytes 0 Verzeichnis(se), 20.431.839.232 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C18-3977 Verzeichnis von C:\WINDOWS 04.01.2008 13:49 0 0.log 04.01.2008 13:49 159 wiadebug.log 04.01.2008 13:49 50 wiaservc.log 04.01.2008 13:48 2.048 bootstat.dat 03.01.2008 20:13 32.598 SchedLgU.Txt 03.01.2008 20:13 322.566 WindowsUpdate.log 03.01.2008 18:54 749 WindowsShell.Manifest 03.01.2008 17:39 49 NeroDigital.ini 03.01.2008 14:12 523 setupapi.log 03.01.2008 14:10 21.830 FSSFM.log 03.01.2008 14:10 23.094 FSISU.log 03.01.2008 14:10 33.381 RunSetup.log 30.12.2007 19:22 477 lexstat.ini 29.12.2007 14:24 2.040 ModemLog_Creatix V.9X DSP Data Fax Modem.txt 24.12.2007 13:01 127 blockplaner.ini 24.12.2007 13:00 0 wiso.ini 12.12.2007 19:06 54.156 QTFont.qfn 17.11.2007 14:01 787 win.ini 17.11.2007 14:00 135 asym.ini 18.10.2007 19:20 0 ROUTE 18.10.2007 19:20 0 Trip . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C18-3977 Verzeichnis von C:\WINDOWS\temp 03.01.2008 12:53 0 nsf6.tmp 03.01.2008 12:53 0 nsv5.tmp 103 Datei(en) 664 Bytes 0 Verzeichnis(se), 20.431.826.944 Bytes frei . . . Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0C18-3977 Verzeichnis von C:\WINDOWS\Downloaded Program Files 26.05.2005 04:19 291 wuweb.inf 12.02.2005 16:09 65 desktop.ini 25.08.2003 17:12 1.096 iuctl.inf 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 4 Datei(en) 2.614 Bytes 0 Verzeichnis(se), 20.431.826.944 Bytes frei . . . |
|
|
||
04.01.2008, 15:13
Ehrenmitglied
Beiträge: 1441 |
#4
«»
poste das log von Combofix http://www.virus-protect.org/artikel/tools/combofix.html « wende sdifx im Normalmodus an - waehle Sophos - scanne mit Option 6 und poste hier den report http://www.virus-protect.org/artikel/tools/sdfix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
04.01.2008, 16:22
...neu hier
Themenstarter Beiträge: 6 |
#5
nach dem durchführen der aktionen meldet sich das system nicht mehr automatisch als systemadmin an.
Ich habe nun keine zugriff mehr auf die Systemdatein, -> die Fehlermeldung sagt jetzt "diese vorgang wurde aufgrund von einschränkungen abgebrochen, die für diesen computer gelten. Melden sie sich an den systemadim zur 2) ComboFix 08-01-04.1 - Matthias 2008-01-04 15:41:56.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.713 [GMT 1:00] ausgeführt von:: I:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\packet.dll C:\WINDOWS\system32\wanpacket.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_SROSA -------\srosa ((((((((((((((((((((((( Dateien erstellt von 2007-12-04 bis 2008-01-04 )))))))))))))))))))))))))))))) . 2008-01-04 15:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-03 19:00 . 2006-10-01 01:47 <DIR> d-------- C:\WINDOWS\drivers 2008-01-03 19:00 . 2006-09-25 23:45 666,240 --a------ C:\WINDOWS\aswBoot.exe 2008-01-03 19:00 . 2004-01-09 18:13 380,928 --a------ C:\WINDOWS\actskin4.ocx 2008-01-03 19:00 . 2006-09-25 23:37 90,112 --a------ C:\WINDOWS\AVASTSS.scr 2008-01-03 18:27 . 2001-08-18 13:00 11,776 --a--c--- C:\WINDOWS\system32\dllcache\chkdsk.exe 2008-01-03 18:27 . 2001-08-18 13:00 11,776 --a------ C:\WINDOWS\system32\chkdsk.exe 2008-01-03 17:43 . 2008-01-03 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator 2008-01-03 17:43 . 2008-01-03 17:43 <DIR> d-------- C:\Documents and Settings 2008-01-03 16:49 . 2004-08-04 00:50 2,183,296 --a------ C:\WINDOWS\system32\ntoskrnl.exe 2008-01-03 16:49 . 2004-08-04 00:50 2,183,296 --a--c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-01-03 14:54 . 2008-01-03 14:54 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SUPERAntiSpyware.com 2008-01-01 21:41 . 2008-01-01 22:01 <DIR> d-------- C:\WINDOWS\system32\drivers\down 2008-01-01 21:41 . 2004-03-16 04:06 619,576 --------- C:\WINDOWS\system32\drivers\hldrrr.exe 2007-12-31 15:59 . 2008-01-03 14:01 <DIR> d-------- C:\Programme\MosaicCreator 2007-12-31 15:36 . 2008-01-03 13:52 <DIR> d-------- C:\Programme\dm Fotowelt 2007-12-23 17:54 . 2007-12-23 17:54 <DIR> d-------- C:\Programme\Foto-Mosaik 2007-12-22 10:40 . 2007-12-24 13:00 0 --a------ C:\WINDOWS\wiso.ini 2007-12-22 10:01 . 2007-12-22 10:01 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Buhl Data Service 2007-12-22 10:00 . 2007-12-22 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH 2007-12-21 22:16 . 2007-12-21 22:16 <DIR> d-------- C:\Programme\Duplicate MP3 Finder 2007-12-21 22:16 . 2007-12-21 22:16 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\EFSoftware 2007-12-21 22:10 . 2007-12-21 22:13 <DIR> d-------- C:\Programme\Duplicate File Remover 2007-12-14 16:03 . 2007-12-14 16:03 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\EurekaLog 2007-12-14 15:22 . 2007-12-14 16:03 <DIR> d-------- C:\Programme\MediaMonkey 2007-12-13 11:36 . 2008-01-03 14:02 <DIR> d-------- C:\Programme\MSR MapCruncher for Virtual Earth 3.2.1 2007-12-13 11:27 . 2007-12-13 11:27 <DIR> d-------- C:\WINDOWS\system32\XPSViewer 2007-12-13 11:26 . 2007-12-13 11:26 <DIR> d-------- C:\Programme\Reference Assemblies 2007-12-13 11:25 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll 2007-12-05 21:19 . 2007-12-05 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\RTPlayer . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-03 17:36 --------- d-----w C:\Programme\Sygate_SPF 2008-01-03 16:16 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-01-03 14:29 --------- d-----w C:\Programme\Spybot Search and Destroy 2008-01-03 13:03 --------- d-----w C:\Programme\Opera 2008-01-03 13:00 --------- d-----w C:\Programme\Germanys Next Topmodel 2008-01-03 12:58 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-01-03 12:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-01-01 19:46 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\FrostWire 2007-12-24 12:23 --------- d-----w C:\Programme\Ad-Aware SE Professional 2007-12-24 12:23 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\uTorrent 2007-12-24 12:01 --------- d-----w C:\Programme\AD2007 2007-12-24 11:56 --------- d-----w C:\Programme\The Print Shop 20 2007-12-24 11:48 --------- d-----w C:\Programme\regclean4_1 2007-12-24 11:44 --------- d-----w C:\Programme\PIXELA_ImageMixer 2007-12-24 11:26 --------- d-----w C:\Programme\PDF_zusammenfügen 2007-12-22 09:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service 2007-12-14 14:07 --------- d-----w C:\Programme\MUSICMATCH Jukebox 2007-12-05 20:18 --------- d-----w C:\Programme\myMP3 4.0 2007-12-05 20:07 --------- d-----w C:\Programme\onlineTV3 2007-12-05 20:07 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\concept design 2007-12-05 19:51 --------- d-----w C:\Programme\TuneUp Utilities 2007 2007-11-24 17:06 --------- d-----w C:\Programme\CryptLoad 2007-11-17 13:00 --------- d-----w C:\Programme\CHEMIE 2007-03-23 17:11 71,708 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_03_23_18_05_35_small.dmp.zip 2007-03-23 17:11 68,216 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_03_23_18_05_49_small.dmp.zip 2006-03-10 12:12 17,544 ----a-w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-11-19 21:15 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AWMON"="C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe" [2005-05-25 11:12 517632] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 19:14 1204224] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248] "hplampc"="C:\WINDOWS\System32\hplampc.exe" [2002-01-17 17:40 40448] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-25 21:48 118784] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 146944] "T-Online DSL-Manager"="C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" [2005-11-01 11:31 811008] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "nwiz"="nwiz.exe" [2006-08-11 20:43 1519616 C:\WINDOWS\system32\nwiz.exe] "NvCplDaemon"="NvQTwk" [] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [ ] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [ ] "SmcService"="C:\PROGRA~1\SYGATE~1\smc.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableClock"= 0 (0x0) "DisableLockWorkstation"= 0 (0x0) "NoClose"= 0 (0x0) "DisableChangePassword"= 0 (0x0) "NoShutDown"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoLogOff"= 00000000 "NoControlPanel"= 0 [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\NEUERO~1\SASSEH.DLL [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] I:\NEUERO~1\SASWINLO.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [color=red]SafeBoot Registrierungsschlssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.[/color] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SoundMan"=SOUNDMAN.EXE "POINTER"=point32.exe "MMTray"=C:\Programme\MUSICMATCH Jukebox\mm_tray.exe "Agent"=C:\Programme\Medion\PowerCinema\My_TV\Agent.exe "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe "mm_server"=C:\Programme\MUSICMATCH Jukebox\mm_server.exe "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "SmcService"=C:\PROGRA~1\SYGATE~1\smc.exe -startgui R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-12-10 18:36] R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-04-22 16:21] R2 CAPI20;Eumex 604PC HomeNet;C:\WINDOWS\system32\drivers\CAPI20.sys [2003-04-03 15:48] R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2003-03-19 13:36] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 13:14] R3 dtwmnic5;Telekom Eumex 704PC LAN;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [2002-12-20 11:04] R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 13:15] R3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2005-11-01 11:30] R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2005-12-01 14:38] S2 PRTGService;PRTG Service - Paessler Router Traffic Grapher;C:\Programme\PRTG Traffic Grapher\PRTG Traffic Grapher.exe [] S2 Windows-CCHook-Service;Windows-CCHook-Service;C:\WINDOWS\system32\cchservice.exe [] S3 DarkSpy;DarkSpy;C:\WINDOWS\system32\DarkSpyKernel.sys [] S3 hp4200c;%usbscan.SvcDesc%;C:\WINDOWS\system32\DRIVERS\hp4200c.sys [2001-02-19 05:39] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 03:39] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [2006-10-08 17:46] S3 PavSRK.sys;PavSRK.sys;C:\WINDOWS\system32\PavSRK.sys [] S3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys [] S3 zlportio;zlportio;D:\download\Karaoke\Deluxe\zlportio.sys [] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2007-12-14 16:26:35 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-04 15:47:41 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-01-04 15:50:23 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-04 14:50:20 -------------------------------------------------------------------------- zur 3) die angehängten Daten Ich komme nicht ins internet, deshalb kann auch keine Aktualisierung erfolgen. Anhang: 3.jpg
|
|
|
||
04.01.2008, 17:26
Ehrenmitglied
Beiträge: 1441 |
#6
du hast dir den Troj/BagleDl-BU eingefangen....
«« Gehe in die Registry suche/lösche: HKCU\Software\FirstRRRun «« avenger http://www.virus-protect.org/artikel/tools/avenger.html lies dir durch, wie man den Avenger anwendet: kopiere rein: Zitat registry values to delete:»» F-Secure BlackLight http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nun findet man eine Log-Datei(txt) auf dem Desktop - poste sie hier »» ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren ««««««««««««««««««««« « http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows-CCHook-Service in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) DarkSpy in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
04.01.2008, 17:52
...neu hier
Themenstarter Beiträge: 6 |
#7
hi,
Gehe in die Registry suche/lösche: HKCU\Software\FirstRRRun --> dieser Eintrag ist in der Registry nicht auffindbar wie solls jetzt weitergehen? |
|
|
||
04.01.2008, 17:52
Ehrenmitglied
Beiträge: 1441 |
#8
dann wende nun den Avenger an - poste das log, was nach neustart erscheint
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
04.01.2008, 19:38
...neu hier
Themenstarter Beiträge: 6 |
#9
1)
01/04/08 18:36:52 [Info]: BlackLight Engine 1.0.67 initialized 01/04/08 18:36:52 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/04/08 18:36:53 [Note]: 7019 4 01/04/08 18:36:53 [Note]: 7005 0 01/04/08 18:37:00 [Note]: 7006 0 01/04/08 18:37:00 [Note]: 7011 480 01/04/08 18:37:00 [Note]: 7026 0 01/04/08 18:37:01 [Note]: 7026 0 01/04/08 18:37:04 [Note]: FSRAW library version 1.7.1024 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:44:44 [Note]: 2000 1012 01/04/08 18:54:35 [Note]: 7007 0 2) The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 2 Jan 4, 2008 19:00:22 ===> Begin Service Listing <=== Unknown Service #1 Service Name: AcrSch2Svc Display Name: Acronis Scheduler2 Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe" State: Running Process ID: 1048 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirScheduler Display Name: AntiVir PersonalEdition Classic Scheduler Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: i:\aviraantivir7b\sched.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 3 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Guard Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: i:\aviraantivir7b\avguard.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #4 Service Name: aspnet_state Display Name: ASP.NET State Service Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 5 Service Name: clr_optimization_v2.0.50727_32 Display Name: .NET Runtime Optimization Service v2.0.50727_X86 Start Mode: Manual Start Name: LocalSystem Description: Microsoft .NET Framework ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 6 Service Name: FontCache3.0.0.0 Display Name: Windows Presentation Foundation Font Cache 3.0.0.0 Start Mode: Manual Start Name: NT AUTHORITY\LocalService Description: Optimizes performance of Windows Presentation Foundation (WPF) applications by caching commonly ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 7 Service Name: HRService Display Name: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope Start Mode: Manual Start Name: LocalSystem Description: Datenbank-Service für Haufe iDesk-Produkte. Der Service ist über http://127.0.0.1:38184 zu ... Service Type: Own Process Path: "c:\programme\haufe\idesk\ideskservice\ideskservice.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 8 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 9 Service Name: idsvc Display Name: Windows CardSpace Start Mode: Manual Start Name: LocalSystem Description: Securely enables the creation, management, and disclosure of digital ... Service Type: Share Process Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 10 Service Name: NetTcpPortSharing Display Name: Net.Tcp Port Sharing Service Start Mode: Disabled Start Name: NT AUTHORITY\LocalService Description: Provides ability to share TCP ports over the net.tcp ... Service Type: Share Process Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #11 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 12 Service Name: PRTGService Display Name: PRTG Service - Paessler Router Traffic Grapher Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\prtg traffic grapher\prtg traffic grapher.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 13 Service Name: SASDIFSV Display Name: SASDIFSV Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: i:\neuero~1\sasdifsv.sys State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 14 Service Name: SASENUM Display Name: SASENUM Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: i:\neuero~1\sasenum.sys State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 15 Service Name: SASKUTIL Display Name: SASKUTIL Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: i:\neuero~1\saskutil.sys State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #16 Service Name: SmcService Display Name: Sygate Personal Firewall Start Mode: Disabled Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\sygate_spf\smc.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #17 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{f29a73e7-8502-452d-a36d-e59ac6230745} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 18 Service Name: TODslService Display Name: T-Online DSL-Manager Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\t-online\dsl-manager\todslsvc.exe" State: Running Process ID: 3172 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 19 Service Name: TSMService Display Name: T-DSL SpeedManager Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\t-dsl speedmanager\tsmsvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 20 Service Name: UxTuneUp Display Name: TuneUp Designerweiterung Start Mode: Auto Start Name: LocalSystem Description: Erlaubt die Verwendung visueller Stile ohne ... Service Type: Share Process Path: c:\windows\system32\svchost.exe -k netsvcs State: Running Process ID: 1696 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 21 Service Name: Windows-CCHook-Service Display Name: Windows-CCHook-Service Start Mode: Auto Start Name: LocalSystem Description: Ermöglicht die erweiterte Überwachung der Salfeld Security ... Service Type: Own Process Path: c:\windows\system32\cchservice.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 102 Win32 services on this machine. 21 were unrecognized. Script Execution Time: 1,375 seconds. 3) Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 04.01.2008 19:35:23 for strings: ; 'windows-cchook-service' ; Strings excluded from search: ; 'darkspy' ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] "Service"="Windows-CCHook-Service" "DeviceDesc"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service] "DisplayName"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service\Enum] "0"="Root\\LEGACY_WINDOWS-CCHOOK-SERVICE\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] "Service"="Windows-CCHook-Service" "DeviceDesc"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows-CCHook-Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows-CCHook-Service] "DisplayName"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows-CCHook-Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] "Service"="Windows-CCHook-Service" "DeviceDesc"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Windows-CCHook-Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Windows-CCHook-Service] "DisplayName"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Windows-CCHook-Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000] "Service"="Windows-CCHook-Service" "DeviceDesc"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service] "DisplayName"="Windows-CCHook-Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service\Enum] "0"="Root\\LEGACY_WINDOWS-CCHOOK-SERVICE\\0000" ; End Of The Log... so das wäre soweit geschafft, wie gehts weiter? |
|
|
||
04.01.2008, 22:25
Ehrenmitglied
Beiträge: 1441 |
#10
kopiere in den avenger:
Zitat registry keys to delete:wenn der Rechner hochfaehrt, erscheint ein Log vom Avenger - ich moechte , dass du mir dieses und auch das vorige log hier postest, damit ich sehen kann, was geloescht wurde und was nicht.... » bringe den dr.web auf den rechner - scanne + poste den report hier http://virus-protect.org/cureit.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
07.01.2008, 08:53
...neu hier
Themenstarter Beiträge: 6 |
#11
Hallo Pinguin,
danke für deine Bemühungen mir aus der Misere zu helfen. Ich habe mich jetzt für die Lösung --> Format C:\ entschieden, in der Hoffnung damit die aktuellen Probleme zu lösen. So etwas in dieser Art ist mir zum ersten Mal passiert, und dass immerhin nach vielen Jahren PC Umgang. Kannst du mir noch eine Hilfestellung in der Art geben, wie ich zukünftig so etwas vermeiden kann. Danke |
|
|
||
07.01.2008, 13:05
Ehrenmitglied
Beiträge: 1441 |
#12
sweeter
ich hab mich mal schlau gemacht, wie man sich den Virus einfangen kann, auf einer spanischen Seite stand - über fileshare, also man denkt , z.b. Video Edit Magic Express 4.11.exe oder Alt-TabReplacement1.0.exe zu laden - und holt sich damit den Virus auf den Rechner..... Hast du am 1.Januar irgendein Proggie auf diese Weise geladen ? 2008-01-01 21:41 . 2008-01-01 22:01 <DIR> d-------- C:\WINDOWS\system32\drivers\down 2008-01-01 21:41 . 2004-03-16 04:06 619,576 --------- C:\WINDOWS\system32\drivers\hldrrr.exe Zitat http://www.sophos.de/security/analyses/trojbagledldb.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
Irgendwie hab ich mir was eingefangen und bekomme es von meinem Hauptrechner nicht mehr runter
--> keine Internetverbindung mehr möglich
--> alle Antivieren und Co. Dateien werden autom. aus dem Verzeichnis geschlöscht und können nicht installiert werden.
--> Systemwiederherstellungspunkte sind weg.
In der Hoffnung, dass mir jemand weiterhelfen kann.
Hier mein Log
Logfile of HijackThis v1.99.1
Scan saved at 19:55:46, on 03.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Eumex 704PC LAN\Capictrl.exe
C:\Programme\CD DriveTool\CDTool.exe
C:\Programme\Eumex 704PC LAN\HNetCtrl.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
I:\Spyware Terminator 1.5.0.740\Files\SpywareTerminatorShield.exe
I:\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe_Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\System32\hplampc.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: CD DriveTool.LNK = C:\Programme\CD DriveTool\CDTool.exe
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132931647656
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: !SASWinLogon - I:\NEUERO~1\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - I:\AviraAntiVir7b\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - I:\AviraAntiVir7b\avguard.exe (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PRTG Service - Paessler Router Traffic Grapher (PRTGService) - Unknown owner - C:\Programme\PRTG Traffic Grapher\PRTG Traffic Grapher.exe (file missing)
O23 - Service: SASDIFSV - Unknown owner - I:\NEUERO~1\sasdifsv.sys
O23 - Service: SASENUM - SuperAdBlocker, Inc. - I:\NEUERO~1\SASENUM.SYS
O23 - Service: SASKUTIL - Unknown owner - I:\NEUERO~1\SASKUTIL.SYS
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: Windows-CCHook-Service - Unknown owner - C:\WINDOWS\system32\cchservice.exe (file missing)