lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
23.08.2004, 22:36
Member
Beiträge: 19 |
||
|
||
23.08.2004, 22:49
Ehrenmitglied
Beiträge: 29434 |
#122
@DonDöna
Ohne Garantie, dass nach der Reinigung noch alles funktioniert.......der PC ist voellig verseucht ! http://www.spychecker.com/program/lspfix.html zuerst lade dieses Tool und loesche den Winsockvirus<'avsda.dll'< Fixe (dann sofort neustarten) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.eqgngnfkyrqdrpyyhxq.com/muSSNRi1owEHOxk2J39s9_r_X19xUeKb7fxZ3Ol2j5lWUBRfhy7QdoMQlya3mztx.html O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {6B9037CC-B8C9-FFF6-79F7-51559F7C149A} - C:\PROGRA~1\Heckbags\LiteRemote.exe O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Bat Way] C:\PROGRA~1\roam itch body\bore frag.exe O4 - HKLM\..\Run: [free two bows surf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Love Start Free Two\WindowOne.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - Startup: PowerReg Scheduler V3.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe (DIALER (!) O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file) neustarten #Gehe mal in die Host-Datei (mit Editor oeffnen) schau mal in c:\Windows\System32\drivers\etc\hosts Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!. 127.0.0.1 localhost #Orginal Host Datei #Gehe in <Internetoptionen< und loesche die <TemporaryInternetfiles. #Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Deinstalliere .[MessengerPlus3] und loesche alles C:\Programme\Messenger Plus! 3\MsgPlus.exe" #Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ................................................................................................... ##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!) http://www.bsi.de/av/texte/winsave.htm (F8 druecken, wenn der Computer hochfaehrt -----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. .................................................................................................... normal neustarten Lade mal folgendes Tool: (Spysweeper) http://www.spysweeper.com/ #Lade von dieser Site AdAware (free) http://www.rokop-security.de/main/article.php?sid=703 Scanne noch mal im Normalmodus mit mwav.exe und poste das Virenlog.(denn der Dialer muss dann manuell geloescht werden) und das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 23:42 Uhr von Sabina editiert.
|
|
|
||
23.08.2004, 23:03
Member
Beiträge: 1095 |
#123
@DonDöna
Da sind ein paar heiße Sachen dabei. Lade dir Escan http://www.rokop-security.de/board/index.php?showtopic=3867 Installieren und updaten wie beschrieben Virenscanner updaten Geh bitte in den Abgesichteren Modus http://www.bsi.de/av/texte/winsave.htm AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.eqgngnfkyrqdrpyyhxq.com/muSSNRi1owEHOxk2J39s9_r_X19xUeKb7fxZ3Ol2j5lWUBRfhy7QdoMQlya3mztx.html O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe" O4 - HKLM\..\Run: [Bat Way] C:\PROGRA~1\roam itch body\bore frag.exe O4 - HKLM\..\Run: [free two bows surf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Love Start Free Two\WindowOne.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe O4 - Startup: PowerReg Scheduler V3.exe O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file) Dann scannen mit Escan wie oben beschrieben Dann mit Virenscanner alle Festplatten scannen Dann neustart und nochmal Logfile posten Das war nur die erste Vorreinigung Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.08.2004 um 23:05 Uhr von paff editiert.
|
|
|
||
23.08.2004, 23:43
Ehrenmitglied
Beiträge: 29434 |
#124
Hallo @paff
Warum die "heissen Sachen"doppelt posten ? Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.08.2004, 23:53
...neu hier
Beiträge: 6 |
#125
was muss ich machen um ihn loszuwerden?
|
|
|
||
24.08.2004, 00:00
Ehrenmitglied
Beiträge: 29434 |
#126
@berlinova
Zuerst lade das HijackThis und poste es ins Forum. http://www.downloads.subratam.org/hijackthis.zip Symantec hat ein Removal Tool gegen den Sasser Wurm herausgebracht: http://board.protecus.de/t9695.htm Wenn das nichts hilft, denn der Sasser macht den PC nicht mehr vertrauenswuerdig in Punkto Sicherheit...formatiere neu. Dann lade aber den Patch von MS und einen Antivirus vorher auf Diskette\CD und dann BEVOR du ins Net gehst, aktiviere die XP-Firewall.(falls du nicht schon vorher per CD eine Firewall geladen hast) Dann mache die WindowsUpdates. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.08.2004 um 00:10 Uhr von Sabina editiert.
|
|
|
||
24.08.2004, 00:28
Member
Beiträge: 19 |
#127
also der bekannte, dessen hijack-file ich gepostet habe, hat sich aufgrund der "verseuchung" mit der er nicht mehr leben möchte, aber zu faul ist eure lösungsvorschläge anzuwenden, dazu entschlossen zu formatieren
|
|
|
||
24.08.2004, 00:29
Member
Beiträge: 1095 |
#128
Zitat Sabina posteteDer Zeitunterschied kommt daher das ich ziemlich lange rumgesucht habe War auch ein HArdcore Log Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
24.08.2004, 00:33
Member
Beiträge: 1095 |
#129
Zitat DonDöna posteteDa sollte er mit seinem "neuen" Rechner vielleicht ein paar Tipps beachten. Hab ich von User "Cidre" ganz fies geklaut Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: Zitat 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzengruß paff P.S. Cidre : Ich bin lernfähig __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
24.08.2004, 00:37
Member
Beiträge: 19 |
#130
by the way... dies ist meine eigene hijack-file... ihr wolltet ja wohl noch nen blick drauf werfen...
Logfile of HijackThis v1.98.2 Scan saved at 00:34:23, on 24.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINNT\System32\smss.exe F:\WINNT\system32\winlogon.exe F:\WINNT\system32\services.exe F:\WINNT\system32\lsass.exe F:\WINNT\system32\svchost.exe F:\WINNT\system32\spoolsv.exe F:\Programme\AVPersonal\AVGUARD.EXE F:\Programme\AVPersonal\AVWUPSRV.EXE F:\WINNT\System32\svchost.exe F:\WINNT\System32\nvsvc32.exe F:\WINNT\system32\regsvc.exe F:\WINNT\system32\MSTask.exe F:\WINNT\System32\tcpsvcs.exe F:\WINNT\system32\stisvc.exe F:\WINNT\System32\WBEM\WinMgmt.exe F:\WINNT\system32\svchost.exe F:\WINNT\Explorer.EXE F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe F:\Programme\AVPersonal\AVGNT.EXE G:\WhatPulse.exe C:\uptime-project\client.exe F:\WINNT\system32\rundll32.exe F:\Programme\MSN Messenger\msnmsgr.exe F:\Programme\Internet Explorer\iexplore.exe F:\WINNT\system32\taskmgr.exe C:\Programme\WinRAR.exe F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.226\HijackThis.exe O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [MSConfig] F:\WINNT\msconfig.exe /auto O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [WhatPulse] G:\WhatPulse.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [Uptime-Project] C:\uptime-project\client.exe O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALLP.EXE O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/de/win/QuickTimeInstaller.exe O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab --- vielen dank für die tipps @paff bzw cidre ^^ ich habe es ihm mnitgeteilt... ob er sich dran hält ist ne andere sache... Dieser Beitrag wurde am 24.08.2004 um 00:39 Uhr von DonDöna editiert.
|
|
|
||
24.08.2004, 00:59
Member
Beiträge: 1095 |
#131
@DonDöna
Alle Einträge mit (File Missing) kannst du noch Fixen. Ist nur für die Optik Aber was seh ich da O4 - HKLM\..\Run: [MSConfig] F:\WINNT\msconfig.exe /auto Das sollte auf jedenfall noch raus. Datei wenn noch da auch löschen Gruß paff P.S. Das Uptime Projekt! Ist doch wohl der Größte Unsinn der Menschheit oder __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
24.08.2004, 01:04
Member
Beiträge: 441 |
#132
Zitat Hab ich von User "Cidre" ganz fies geklautDas kannst du so oft verwenden, wie du möchtest, es dient der Sache. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
24.08.2004, 10:23
Member
Beiträge: 19 |
#133
wieso soll msconfig denn raus? es hilft mir eigentlich ganz gut, ungewünschte programme aus dem autostart zu entfernen...
und ja, das uptime-project ist eins der bescheuertsten programme, die es gibt... genauso http://pulse.whatnet.org <- zählt die tastenklicks und mausklicks Dieser Beitrag wurde am 24.08.2004 um 10:23 Uhr von DonDöna editiert.
|
|
|
||
24.08.2004, 10:55
Member
Beiträge: 1095 |
#134
Zitat DonDöna posteteIch glaube diese msconfig.exe ist nicht die msconfig.exe die du meinst. Ist wohl irgendwein Trojaner. Suche einfach mal alle "msconfig.exe" auf deinem Rechner und check die hier http://www.kaspersky.com/de/remoteviruschk.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
24.08.2004, 11:14
Member
Beiträge: 19 |
#135
ich habs gecheckt - ist ok... das ist die msconfig.exe, die ich haben will! allerdings hab ich die scheinbar nicht dort auf dem rechner gehabt, wo sie sein sollte (falls sie überhaupt bei win2k vorhanden ist)
|
|
|
||
Logfile of HijackThis v1.98.2
Scan saved at 22:30:06, on 23.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\BTV\btv.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVESVC.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVWin\AVMAILC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ISCHNI~1\LOKALE~1\Temp\Rar$EX00.682\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.eqgngnfkyrqdrpyyhxq.com/muSSNRi1owEHOxk2J39s9_r_X19xUeKb7fxZ3Ol2j5lWUBRfhy7QdoMQlya3mztx.html
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6B9037CC-B8C9-FFF6-79F7-51559F7C149A} - C:\PROGRA~1\Heckbags\LiteRemote.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Bat Way] C:\PROGRA~1\roam itch body\bore frag.exe
O4 - HKLM\..\Run: [free two bows surf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Love Start Free Two\WindowOne.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8369595A-FD0B-47FF-873C-6F4FDC44903B}: NameServer = 195.50.140.250 145.253.2.11
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)