tmp.exe - Virenmeldung beim Browserstart |
||
---|---|---|
#0
| ||
18.04.2009, 13:41
...neu hier
Beiträge: 4 |
||
|
||
18.04.2009, 15:27
Moderator
Beiträge: 5694 |
#2
Lass mal folgende Datei bei www.virustotal.com/de prüfen:
C:\—‚Ó‚§[‚ÞƒƒCƒg‘ÌŒ±”Å Poste das Ergebnis. >> Lösche die temp Dateien mit CCleaner >> Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) >> Lade Dir Registry Search by Bobbi Flekman und doppelklicken, um zu starten. in das Feld: "Enter search strings" (reinschreiben oder reinkopieren) DMSKSSRh in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. >> Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint http://virus-protect.org/artikel/tools/sdfix.html Gruss Swiss |
|
|
||
18.04.2009, 19:11
...neu hier
Themenstarter Beiträge: 4 |
#3
Erstmal vielen Dank für die Hilfe.
Zitat Swisstreasure posteteDabei handelt es sich um einen Ordner mit japanischem Namen - daher die eigenartige Zeichenfolge. Der Inhalt dürfte harmlos sein. Zitat Swisstreasure posteteErledigt. Zitat Swisstreasure posteteErledigt, Logs folgen. Regsearch: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 18.04.2009 18:31:30 for strings: ; 'dmskssrh' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000] "Service"="DMSKSSRh" "DeviceDesc"="DMSKSSRh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh] ; Contents of value: ; \??\C:\DOKUME~1\Lars\LOKALE~1\Temp\DMSKSSRh.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\ 55,00,4d,00,45,00,7e,00,31,00,5c,00,4c,00,61,00,72,00,73,00,5c,00,4c,00,4f,\ 00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\ 44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,00,73,00,79,00,73,00,00,\ 00 "DisplayName"="DMSKSSRh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Enum] "0"="Root\\LEGACY_DMSKSSRH\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH\0000] "Service"="DMSKSSRh" "DeviceDesc"="DMSKSSRh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\DMSKSSRh] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\DMSKSSRh] ; Contents of value: ; \??\C:\DOKUME~1\Lars\LOKALE~1\Temp\DMSKSSRh.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\ 55,00,4d,00,45,00,7e,00,31,00,5c,00,4c,00,61,00,72,00,73,00,5c,00,4c,00,4f,\ 00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\ 44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,00,73,00,79,00,73,00,00,\ 00 "DisplayName"="DMSKSSRh" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\DMSKSSRh\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000] "Service"="DMSKSSRh" "DeviceDesc"="DMSKSSRh" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh] ; Contents of value: ; \??\C:\DOKUME~1\Lars\LOKALE~1\Temp\DMSKSSRh.sys "ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\ 55,00,4d,00,45,00,7e,00,31,00,5c,00,4c,00,61,00,72,00,73,00,5c,00,4c,00,4f,\ 00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\ 44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,00,73,00,79,00,73,00,00,\ 00 "DisplayName"="DMSKSSRh" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Enum] "0"="Root\\LEGACY_DMSKSSRH\\0000" ; End Of The Log... SDFix: SDFix: Version 1.240 Run by Lars on 18.04.2009 at 18:47 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-18 19:04:43 Windows 5.1.2600 Service Pack 3 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader" "C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aolsoftware.exe:*:Enabled:AOL Services" "C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aim6.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aim6.exe:*:Enabled:AIM" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\RagTime Privat\\RagTime 5.exe"="C:\\Programme\\RagTime Privat\\RagTime 5.exe:*isabledas Werkzeug zur professionellen Dokumentenbearbeitung." "C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : Files with Hidden Attributes : Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll" Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll" Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll" Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll" Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll" Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe" Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe" Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Finished! |
|
|
||
19.04.2009, 23:03
Moderator
Beiträge: 5694 |
#4
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL:Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu >> in C:\ComboFix.txt ist alles gespeichert, kopiere es ab und ins Sicherheitsforum >> Mach ein Kontrollscan mit Kaspersky und berichte: http://www.kaspersky.com/de/virusscanner Gruss Swiss |
|
|
||
21.04.2009, 08:17
...neu hier
Themenstarter Beiträge: 4 |
#5
Nochmals Danke.
Anbei die Logs: Combofix: Zitat ComboFix 09-04-21.01 - Lars 20.04.2009 20:41.3 - [color=red]FAT32[/color]x86Kapersky Verzeichnis-Scan: Zitat -------------------------------------------------------------------------------Auch kein Fund unter den laufenden Prozessen. |
|
|
||
21.04.2009, 16:33
Moderator
Beiträge: 5694 |
#6
Führe folgendes nochmals durch:
Zitat Lade Dir Registry Search by Bobbi FlekmanGruss Swiss |
|
|
||
22.04.2009, 00:41
...neu hier
Themenstarter Beiträge: 4 |
#7
So siehts aus:
Zitat Windows Registry Editor Version 5.00 |
|
|
||
22.04.2009, 12:56
Moderator
Beiträge: 5694 |
#8
Und so sollte es auch aussehen
>> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Du kannst noch Onlinescans machen und schauen ob noch was gefunden wird: http://virus-protect.org/onlinescan.html Ansonsten happy Surfing Gruss swiss |
|
|
||
Seit einer Weile verfolgte mich folgendes Problem:
Bei dem Start eines Browsers (sowohl Internet Explorer als auch Firefox) sprang jedesmal mein Antivirenprogramm (Avira Antivir) an - mit der der Meldung, das ein Virus / unerwünschtes Programm entdeckt wurde. Dabei handelte es sich jedesmal um eine Datei, die auf tmp.exe endet. Sie ließ sich zwar jedesmal von Antivir in die Quarantäne verschieben, bei jedem Neustart des Browsers wurde allerdings eine tmp.exe mit anderer Zahlenfolge am Anfang generiert. Wenn ich mich nicht täusche - jedesmal in C -> Windows -> Temp. (Wegen des Verzeichnisses bin ich mir leider nicht mehr absolut sicher)
Über den regulären Scan von Antivir und einigen anderes Programmen war allerdings keine Infektion zu entdecken.
Vor meinem Post habe ich mich natürlich erstmal an diese Anleitung gehalten:
http://board.protecus.de/t23187.htm
Malwarebytes wurde schnell fündig und entfernte einige Dateien. Weitere Scans zeigten keine Infektion mehr an.
Das erste Log:
------------
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1999
Windows 5.1.2600 Service Pack 3
18.04.2009 11:16:46
mbam-log-2009-04-18 (11-16-46).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 177771
Laufzeit: 32 minute(s), 53 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Fly (Spyware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Love (Spyware.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Lars\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Spyware.Agent) -> Delete on reboot.
------------
Danach habe ich Combofix ausgeführt - auch das wurde fündig und enfernte einige infizierte Dateien. Direkt danach habe ich einen weiteren Scan durchgeführt, bei dem keine Infektion mehr gemeldet wurde - leider wurde mit dem neuen "sauberen" Log das vorherige Log mit den Infektionsmeldungen überschrieben. Eigenartigerweise meldete Combofix beim Start das Antivir noch in vierfacher (?) Ausführung aktiv wäre, selbst nachdem ich es zwischenzeitlich komplett deinstalliert hatte. Das saubere Log nach dem zweiten Scan hängt an.
Zur Zeit starten IE und Firefox ohne Virenmeldung von Antivir. Ich hoffe, die Infektion ist jetzt beseitigt...
Zuguterletzt noch das HijackThis-Log:
------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:13, on 18.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Alias\Maya7.0\docs\wrapper.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alias\Maya7.0\docs\jre\bin\java.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Gemeinsame Dateien\AOL\1157055162\ee\AOLSoftware.exe
C:\Programme\Acer\eRecovery\Monitor.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
c:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [IntelliPoint] "c:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1157055162\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://dist.globalgamecdn.com/dist/neffy/NeffyLauncher.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programme\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
--
End of file - 6894 bytes
------