Immer noch smartsearch.ws - Trotz Details im Forum

#0
20.01.2004, 12:44
...neu hier

Beiträge: 2
#1 Also als erstes der Log (abgesichter Modus):

Logfile of HijackThis v1.97.7
Scan saved at 16:57:14, on 18.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q=
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [UserSystem] C:\Windows\iexplorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: http://smartsearch.ws/?q=
O13 - WWW Prefix: http://smartsearch.ws/?q=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

Mein Problem besteht darin: Habe schon viele I-Net Seiten aufgesucht und gelesen und zahlreiche, detailierte Anweisungen befolgt. Aber trotz dieser habe ich es nicht geschafft den Virus zu knacken. Ich denke ihr kennt aus anderen Threads das Problem, vielleicht könnt ihr ja auch mir helfen.
Seitenanfang Seitenende
20.01.2004, 13:01
Moderator

Beiträge: 7804
#2 Fix das hier mal:

O4 - HKLM\..\Run: [UserSystem] C:\Windows\iexplorer.exe
0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q=
O13 - DefaultPrefix: http://smartsearch.ws/?q=
O13 - WWW Prefix: http://smartsearch.ws/?q=

und starte dann neu! Vergesse bitte nicht, dein Windows zu aktualisieren.

Schicke die C:\Windows\iexplorer.exe bitte an virus@protecus.de .
Du kannst zusaetzlich ja nochmal CWshredder herunterladen: http://216.180.233.153/~merijn/files/CWShredder.exe

Melde dich, wenn du immer noch Probleme hast.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.01.2004, 13:32
...neu hier

Themenstarter

Beiträge: 2
#3 DANKE DANKE DANKE! Du bist der absolute, freakigste Worldsgreatest auf der Welt! Alles weg ... ich bin ihn endlich los! Die Datei habe ich dir zukommen lassen! Besten Dank nochmal!

Und natürlich für alle User die Warnung: http://(...)smartsearch.ws die Finger weglassen!
Seitenanfang Seitenende
20.01.2004, 14:02
Moderator

Beiträge: 7804
#4 Gern geschehen und vergesse bitte nicht, dein Windows zu aktualisieren, sonst hast du ihn bald wieder "zu besuch"!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 10:26
...neu hier

Beiträge: 8
#5 Ich hab ein Problem mit Smartsearch 2 !!
Kann ihn nicht entfernen auch nicht mit dem shredder.
Mit den obigen Angaben kann ich nix anfangen.
Was muss ich machen, dass ich mir diese Einträge anschauen kann, und wie kann ich diese "fixen"???
Seitenanfang Seitenende
28.01.2004, 10:33
Member

Beiträge: 1095
#6 Lade dir HiJackThis runter
http://merijn.org/downloads.html

Starten / Scan / SaveLog
Diesen hier posten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
28.01.2004, 10:41
...neu hier

Beiträge: 8
#7 ogfile of HijackThis v1.97.7
Scan saved at 10:40:49, on 28.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RAMfreer\RAMfreer.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\WinSweep\WSPopup.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Opera7\opera.exe
C:\Programme\SpywareBlaster\spywareblaster.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\dreamcast\Eigene Dateien\My Music\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RAMfreer] C:\Programme\RAMfreer\RAMfreer.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROSOF\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.movieplugin.com/plugin/plugin.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://i.a.cnn.net/cnn/resources/cult3d/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Und nu?
(ich habe mit der firewall einigen "Dinge" blockiert. Erscheinen die dann trotzdem hier? Ich hab wirklich keinen Plan...
Wie lösch ich die iexplorer datei. Die erscheint nach paar Sekunden immer wieder.
Dieser Beitrag wurde am 28.01.2004 um 10:53 Uhr von keinen plan editiert.
Seitenanfang Seitenende
28.01.2004, 10:56
Moderator

Beiträge: 7804
#8 Ich hoffe das Antivir die mit einem der naechsten Updates erkennen wird. Bis dahin kannst du diesen Cleaner nehmen und danach CWshredder nocheinmal:
(Neuste Version 1.47.X)

http://www.safer-networking.org/files/delcwssk.zip
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 11:01
...neu hier

Beiträge: 8
#9 Es kommt immer ne Fehlermeldung wenn ich die Datei starte. Smartkiller has not been found...

Der Shredder findet aber immer smartsearch 2. Aber nur wenn ich ihn akutalisiere. Dann versucht er was zu countern. Das scheint aber nicht zu gelingen.
Seitenanfang Seitenende
28.01.2004, 12:02
Moderator

Beiträge: 7804
#10 Aktuell war bis heute morgen 1.47.1 lade die mal herunter und lasse es im abgesicherten Modus reinigen. Sollte das auch nicht funktionieren, dann bitte eine Startuplist poste. Via Hijackthis/config/misc tools/generate Startuplist.

Kleiner Nachtrag, koenntest du die iexplorer.exe an virus@protecus.de schicken? Vieleicht ist das eine neue Variante.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 28.01.2004 um 12:05 Uhr von raman editiert.
Seitenanfang Seitenende
28.01.2004, 12:36
...neu hier

Beiträge: 8
#11 Tschuldigung. Hab die Datei an Antivir geschickt. Und als antwort bekommen, dass sie keine Virus finden könnten. Wie starte ich im abgesicherten Modus (XP)?
Dieser Beitrag wurde am 28.01.2004 um 12:44 Uhr von keinen plan editiert.
Seitenanfang Seitenende
28.01.2004, 12:46
Moderator

Beiträge: 7804
#12 ? Da muss ich Roman mal nerven. Dumme Frage, es war die iexplorer.exe die sich immer wieder startet?

Dann poste mal eine Startuplist.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 12:48
...neu hier

Beiträge: 8
#13 Hier die Startupliste:

Logfile of HijackThis v1.97.7
Scan saved at 12:47:20, on 28.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RAMfreer\RAMfreer.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\WinSweep\WSPopup.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Opera7\opera.exe
C:\dreamcast\Eigene Dateien\My Music\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RAMfreer] C:\Programme\RAMfreer\RAMfreer.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROSOF\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.movieplugin.com/plugin/plugin.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://i.a.cnn.net/cnn/resources/cult3d/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
28.01.2004, 12:52
Moderator

Beiträge: 7804
#14 Nein, das ist das Hijackthis log!;)

Die Startupolist erstellst du so, Hijackthis starten dann durch folgendes "durchklicken": config/misc tools/generate Startuplist

Den inhalt des dann aufpoppenden Editors hier posten
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.01.2004, 14:13
...neu hier

Beiträge: 8
#15 StartupList report, 28.01.2004, 14:11:32
StartupList version: 1.52
Started from : C:\dreamcast\Eigene Dateien\My Music\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RAMfreer\RAMfreer.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\WinSweep\WSPopup.exe
C:\Programme\Opera7\opera.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\msiexec.exe
C:\dreamcast\Eigene Dateien\My Music\HijackThis.exe
C:\WINDOWS\System32\notepad.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
RAMfreer = C:\Programme\RAMfreer\RAMfreer.exe
WinPatrol = C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
NeroCheck = C:\WINDOWS\system32\NeroCheck.exe
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -minimize
THGuard = "C:\Programme\TrojanHunter 3.8\THGuard.exe"
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

WINSWEEP = C:\Programme\WinSweep\WinSweep.Exe /AUTO
WINSWEEP Popupblocker = C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -trayboot

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\scrnsave.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - (no file) - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Programmstart beschleunigen.job
Erinnerung für den Deinstallationsablauf.job
Liquid Audio Auto Update Agent.job

--------------------------------------------------

Enumerating Download Program Files:

[{15C3C7A4-9676-11D3-9799-0060087190B9}]
CODEBASE = http://www.movieplugin.com/plugin/plugin.exe

[Cult3D ActiveX Player]
InProcServer32 = C:\WINDOWS\System32\Cult3D\IECult.dll
CODEBASE = http://i.a.cnn.net/cnn/resources/cult3d/cult.cab

[CV3 Class]
InProcServer32 = C:\WINDOWS\System32\wuv3is.dll
CODEBASE = http://windowsupdate.microsoft.com/R1092/V31Controls/x86/w98/de/actsetup.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.315 bytes
Report generated in 0,020 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Ist das das Richtige?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: