Trojaner - Qhosts.apd trojan (werde noch narrisch)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.05.2004, 20:26
...neu hier
Beiträge: 3 |
||
|
||
11.05.2004, 20:36
Member
Beiträge: 1122 |
#2
Fix mal:
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe Suche dann nach der Datei und lösch sie. MFG DAFRA |
|
|
||
11.05.2004, 20:56
...neu hier
Themenstarter Beiträge: 3 |
#3
Erstmal DANKE für die schnelle Antwort,aber was ist fixen und wie funktioniert das (wie mache ich das ???)
nochmals Danke |
|
|
||
11.05.2004, 21:36
Member
Beiträge: 1122 |
||
|
||
12.05.2004, 10:53
Ehrenmitglied
Beiträge: 29434 |
#5
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe fixen, dann neustarten und dann gehst du in die Registry (durch das fixen kommt das aus dem Autostart, weil man es sonst nicht loeschen kann.... -Start<Ausfuehren <regedit Dort suchst du unter Run und Runservices den scvhost auf der rechten Seite und loescht. -dann findest du mit der Suchfunktion von Windows diese scvhost.exe und loescht sie ebenfalls. Dann deaktivierst du die Wiederherstellung. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 startest neu und aktivierst sie wieder. Dann scannst du noch einmal mit dem Antivirus. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.05.2004 um 10:56 Uhr von Sabina editiert.
|
|
|
||
12.05.2004, 19:53
...neu hier
Themenstarter Beiträge: 3 |
#6
Hi an alle,
Im besonderen an DAFRA und SABINA .Vielen Dank für euere Hilfe.Denke hab ihn jetzt los.Zumindest zeigt Stinger nichts mehr an. Hab gefixd. Wiederherstellung aus - Pc runtergefahren -Pc wieder an -Wiederherstellung wieder an.Habe aber O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe nicht gefunden. Und Stinger findet auch nichts mehr. Hurra und Freu !!!!!! Denkt Ihr er ist weg ? Nochmals VIELEN DANK !! |
|
|
||
12.07.2004, 16:02
...neu hier
Beiträge: 4 |
#7
Hallo alle miteinander
Auch bei mri zeigt der Stinger folgendes an qhosts.apd.trojan an. Natürlich habe ich versucht die hier vorgeschlagenen Schritte durchzuführen. Aber wendder Ad aware 6, noch spybot search and destroy konnten helfen. Auch HIjeck war nicht wirklich wirkungsvoll. Die hier genannten Pfade,die gefixt werden sollen, erscheinen bei mir gar nicht erst. Außerdem kann ich weder Hijeck länger Zeit öffnen noch die Registry. Was kann ich jetzt noch tun??? Bin ziemlich verzweifelt, da der Rechner neu ist. |
|
|
||
12.07.2004, 16:36
Member
Beiträge: 1095 |
#8
@sascha
Geh mal din den Abgesicherten Modus und starte da HiJackThis. Speichere das logfile und mache neustart Dann das logfile hier posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
12.07.2004, 17:42
...neu hier
Beiträge: 4 |
#9
Tja leider kommeich nicht in den abgesicherten MOdus. WEnn ich es über ausführen profbiere, schließt es sich immer, so wie auch norton oder hijeck. Und über den Neustart und F8 klappt auch nicht. Noch nen Tipp???
|
|
|
||
12.07.2004, 21:53
Member
Beiträge: 1095 |
#10
@sascha
Was passiert den beim Hochfahren und F8 drücken? Hab noch nie gehört, das man nicht in den Safemode kommt Notfalls lade die mwav.exe und lass die mal aufräumen http://www.rokop-security.de/board/index.php?showtopic=3867 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
12.07.2004, 21:56
Ehrenmitglied
Beiträge: 29434 |
#11
Sascha Plath
Start<Ausfuehren<msconfig Der letzte Reiter ...StartUp...poste mal, was da alles mit Haeckchen drinsteht. Wir sagen dir dann, wo du das Haeckchen raus nehmen musst dann neustarten. Lade inzwischen den mawav.exe http://www.mwti.net/antivirus/free_utilities.asp und scanne <alle Dateien<. Vielleicht wird es nicht viel bringen, denn solange die Viren im StartUp sind, kann man sie nicht loeschen...aber versuchen kannst du es ja. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.07.2004 um 21:56 Uhr von Sabina editiert.
|
|
|
||
14.07.2004, 00:20
...neu hier
Beiträge: 7 |
#12
hi leute,
hab auch dieses qhosts.apd - ding mit dem stinger gefunden. hier jetzt dieses hijackthis - zeugs: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\wupdate.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\slserv.exe C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\mHotkey.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe C:\WINNT\services.exe C:\WINNT\system32\internat.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\~AceTemp\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onvista.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Video Process] sysconf.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Internet] wincfg16.exe O4 - HKLM\..\Run: [spoolserv] spoolserv.exe O4 - HKLM\..\Run: [Configuration Owner] mcomfix.exe O4 - HKLM\..\Run: [MS Configuration] MSFramer.exe O4 - HKLM\..\Run: [navp.exe] wupdate.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Video Process] sysconf.exe O4 - HKLM\..\RunServices: [Microsoft Internet] wincfg16.exe O4 - HKLM\..\RunServices: [spoolserv] spoolserv.exe O4 - HKLM\..\RunServices: [Configuration Owner] mcomfix.exe O4 - HKLM\..\RunServices: [MS Configuration] MSFramer.exe O4 - HKLM\..\RunServices: [svchost3] svchost3.exe O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe O4 - HKCU\..\Run: [spoolserv] spoolserv.exe O4 - HKCU\..\Run: [services.exe] "C:\WINNT\services.exe" O4 - HKCU\..\Run: [MS Configuration] MSFramer.exe O4 - HKCU\..\Run: [Internat.exe] internat.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file) O15 - Trusted Zone: www.microsoft.de O17 - HKLM\System\CCS\Services\Tcpip\..\{2881246C-CE4E-4A5E-B893-20EF61FDD673}: NameServer = 145.253.2.196 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{2881246C-CE4E-4A5E-B893-20EF61FDD673}: NameServer = 145.253.2.196 145.253.2.203 hoffe, dass ihr mir weiterhelfen könnt. danke |
|
|
||
14.07.2004, 00:29
Member
Beiträge: 1095 |
#13
@NK187
Da hat dich aber einer ganz heftig erwischt. Date deinen Virenscanner up Geh bitte in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken) O4 - HKLM\..\Run: [Video Process] sysconf.exe O4 - HKLM\..\Run: [Microsoft Internet] wincfg16.exe O4 - HKLM\..\Run: [spoolserv] spoolserv.exe O4 - HKLM\..\Run: [Configuration Owner] mcomfix.exe O4 - HKLM\..\Run: [MS Configuration] MSFramer.exe O4 - HKLM\..\Run: [navp.exe] wupdate.exe O4 - HKLM\..\RunServices: [Video Process] sysconf.exe O4 - HKLM\..\RunServices: [Microsoft Internet] wincfg16.exe O4 - HKLM\..\RunServices: [spoolserv] spoolserv.exe O4 - HKLM\..\RunServices: [Configuration Owner] mcomfix.exe O4 - HKLM\..\RunServices: [MS Configuration] MSFramer.exe O4 - HKLM\..\RunServices: [svchost3] svchost3.exe O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe O4 - HKCU\..\Run: [spoolserv] spoolserv.exe O4 - HKCU\..\Run: [services.exe] "C:\WINNT\services.exe" O4 - HKCU\..\Run: [MS Configuration] MSFramer.exe Mit Virenscanner ganze Platte scannen Starte neu und poste das HiJackthis log nochmal Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.07.2004 um 00:30 Uhr von paff editiert.
|
|
|
||
14.07.2004, 01:50
...neu hier
Beiträge: 7 |
#14
echt so schlimm? hört sich ja net gut an...
also,hab alles so gemacht wie beschrieben: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\slserv.exe C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\mHotkey.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe C:\WINNT\system32\internat.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\~AceTemp\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onvista.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe O4 - HKCU\..\Run: [Internat.exe] internat.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file) O15 - Trusted Zone: www.microsoft.de schaut des scho besser aus? |
|
|
||
14.07.2004, 09:20
Member
Beiträge: 1095 |
#15
@NK187
Das sieht besser aus. Poste bitte das nächstemal das ganze Logfile damit man sieht welches Windows du hast. Lass mal bitte den hier noch laufen http://www.rokop-security.de/board/index.php?showtopic=3867 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.07.2004 um 09:22 Uhr von paff editiert.
|
|
|
||
bin nun schon fast 2 wochen dabei dieses Ding zu entfernen.
Habs schon x mal mit diversen Tools probiert.Stinger erkennts zwar -und reparierts aber beim nächsten Start isser wieder da.Bin ratlos.
Bitte um Hilfe
Mit hijack.habe ich folgendes abgelichtet.Bin auch kein PC - Kenner
System Win - Prof.wer kann helfen ??????????????????????
Logfile of HijackThis v1.97.7
Scan saved at 19:11:55, on 11.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Citrix\ICA-Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\realpanjo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38105.3933101852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
DANKE IM VORAUS !!!!!!