Logfile of HijackThis v1.98.2
Scan saved at 8:46:31 AM, on 5/8/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\THOMSON\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE-AT\MSNAPPAU.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\MEINE SACHE\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0058/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-at\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.adorons.com
O15 - Trusted Zone: www.google.at
O15 - Trusted Zone: www.moonsault.de
O15 - Trusted Zone: *.wrestling-entertainment.com
O15 - Trusted Zone: *.wikipedia.org
O15 - Trusted Zone: www.wgforum.de
O15 - Trusted Zone: www.wgwa.de
O15 - Trusted Zone: startyourengines.wgwa.de
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.wwe.com
O15 - Trusted Zone: *.wrestling-board.com
O15 - Trusted Zone: *.icq.com
O15 - Trusted Zone: *.wrestling-entertainment.net
O15 - Trusted Zone: *.xcw-worldwide.co.uk
O15 - Trusted Zone: www.cineplexx.at
O15 - Trusted Zone: http://login.passport.net
O15 - Trusted Zone: *.wrestling-manager.net
O15 - Trusted Zone: *.ewbattleground.com
O15 - Trusted Zone: *.indyinsider.com
O15 - Trusted Zone: www2.superchat.at
O15 - Trusted Zone: www.nexusinc.us
O15 - Trusted Zone: *.franticfreak.com
O15 - Trusted Zone: *.fanserv.com
O15 - Trusted Zone: *.forum4free.org
O15 - Trusted Zone: *.elsevier.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab

------

Sieht sich da wer raus bzw kann mir wer helfen? habe es auswerten lassen, aber das "R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0058/" lässt sich nicht löschen

wo ist den der rest vom log oder hast du nur ein einziges plugin im Downloaded Programm Files Ordner??

das fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0058/

wenn du die selbst nicht eingetragen hast dann auch fixen.
O15 - Trusted Zone: *.adorons.com
O15 - Trusted Zone: www.google.at
O15 - Trusted Zone: www.moonsault.de
O15 - Trusted Zone: *.wrestling-entertainment.com
O15 - Trusted Zone: *.wikipedia.org
O15 - Trusted Zone: www.wgforum.de
O15 - Trusted Zone: www.wgwa.de
O15 - Trusted Zone: startyourengines.wgwa.de
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.wwe.com
O15 - Trusted Zone: *.wrestling-board.com
O15 - Trusted Zone: *.icq.com
O15 - Trusted Zone: *.wrestling-entertainment.net
O15 - Trusted Zone: *.xcw-worldwide.co.uk
O15 - Trusted Zone: www.cineplexx.at
O15 - Trusted Zone: http://login.passport.net
O15 - Trusted Zone: *.wrestling-manager.net
O15 - Trusted Zone: *.ewbattleground.com
O15 - Trusted Zone: *.indyinsider.com
O15 - Trusted Zone: www2.superchat.at
O15 - Trusted Zone: www.nexusinc.us
O15 - Trusted Zone: *.franticfreak.com
O15 - Trusted Zone: *.fanserv.com
O15 - Trusted Zone: *.forum4free.org
O15 - Trusted Zone: *.elsevier.com

starte den rechne in den abgesicherten modus und leere den ganzen inhalt des genannten ordners (downloaded programm files heisst der)!! plugins die du benötigst werden sich bei bedarf wieder laden.

dann leere den ordner temp, den papierkorb, und lösch die temporären internetfiles incl.offlineinhalte.

gibt s vom virenscanner einen hinweis oder fand der nichts?
fand er was, dann scanne im abgesicherten modus nocheinmal damit die festplatte. (zuminderst den ordner WINDOWS).

das R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0058/ lässt sich nciht löschen bzw fixen! beim nächsten mal ist sie wieder da

downloaded programm files ordner ist okay

was davon hast du gemacht?
was ist das ergebnis davon? (ausser ordner d.p.f)

starte den rechne in den abgesicherten modus und leere den ganzen inhalt des genannten ordners (downloaded programm files heisst der)!! plugins die du benötigst werden sich bei bedarf wieder laden.

dann leere den ordner temp, den papierkorb, und lösch die temporären internetfiles incl.offlineinhalte.

gibt s vom virenscanner einen hinweis oder fand der nichts?
fand er was, dann scanne im abgesicherten modus nocheinmal damit die festplatte. (zuminderst den ordner WINDOWS).

habe gemacht was du gesagt hast....der TR ist immer noch da!

bei AntiVir wurde außerdem das gefunden:

TR/Drop.Agent.GS.1 (dieser sollte aber gelöscht sein)

und

TR/StartPage.qr.DLL

dann würde ich mal sagen, sehen wir mal intensiver nach:


-lade dir escan runter und gehe genau nach dieser Anleitung vor
-wenn der scan fertig ist, gehe in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum

Sun May 08 16:35:59 2005 => File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.Small.api" Virus. Action Taken: No Action Taken.

Sun May 08 16:38:40 2005 => File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\8XMBO1EF\wow[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun May 08 16:52:15 2005 => File C:\WINDOWS\Temporary Internet Files\Content.IE5\8XMBO1EF\wow[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun May 08 16:55:05 2005 => File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.Small.api" Virus. Action Taken: No Action Taken.

Sun May 08 17:05:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sun May 08 17:05:45 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\#INDEX#

-------

diese hab ich gefunden

Hallo Dave,

lösche mittels KillBox [1] diese Datei:
C:\WINDOWS\msxmidi.exe

Leere deinen Breowser Cache:
Rechtsklick auf IE -> Eigenschaften -> Reiter 'Allgemein' und unter Temporäre Internetdateien -> Dateien löschen -> 'Alle Offlineinhalte löschen' anhaken -> OK

Poste danach ein neues HJT Log-File entsprechend der Anleitung.

[1] Wie in der Anleitung: eScan AntiVirus beschrieben

hab ich gemacht! das ist die logfile:

Logfile of HijackThis v1.99.1
Scan saved at 5:57:37 PM, on 5/8/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\THOMSON\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE-AT\MSNAPPAU.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0058/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-at\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.adorons.com
O15 - Trusted Zone: www.google.at
O15 - Trusted Zone: www.moonsault.de
O15 - Trusted Zone: *.wrestling-entertainment.com
O15 - Trusted Zone: *.wikipedia.org
O15 - Trusted Zone: www.wgforum.de
O15 - Trusted Zone: www.wgwa.de
O15 - Trusted Zone: startyourengines.wgwa.de
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.wwe.com
O15 - Trusted Zone: *.wrestling-board.com
O15 - Trusted Zone: *.icq.com
O15 - Trusted Zone: *.wrestling-entertainment.net
O15 - Trusted Zone: *.xcw-worldwide.co.uk
O15 - Trusted Zone: www.cineplexx.at
O15 - Trusted Zone: http://login.passport.net
O15 - Trusted Zone: *.passport.net
O15 - Trusted Zone: *.wrestling-manager.net
O15 - Trusted Zone: *.ewbattleground.com
O15 - Trusted Zone: *.indyinsider.com
O15 - Trusted Zone: www2.superchat.at
O15 - Trusted Zone: www.nexusinc.us
O15 - Trusted Zone: *.franticfreak.com
O15 - Trusted Zone: *.fanserv.com
O15 - Trusted Zone: *.forum4free.org
O15 - Trusted Zone: *.elsevier.com

@Dave
die O15 Einträge bekommst du hiermit
weg, mache das was Lutz gepostet hat im ersten Posting

hast du escan schon laufen lassen?

chaosman

e scan hab ich schon gemacht..ergebnis ist eh weiter oben

die 015 einträge sind doch eh harmlos oder?

@Dave

wenn du alle kennst, dann ja.

chaosman

ja kenn sie..mein prob ist das R0

OK, dann gehen wir mal anders an die Sache heran.
Lade und installiere Silent Runners.vbs gemäss der Anleitung und poste dann das Log-File.

"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows Millennium
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SpeedTouch USB Diagnostics" = ""C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]
"LoadQM" = "loadqm.exe" [MS]
"msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-at\msnappau.exe"" [MS]
"AVGCtrl" = "C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min" ["H+BEDV Datentechnik GmbH"]
"SmcService" = "C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui" ["Sygate Technologies, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]
"SmcService" = "C:\PROGRAMME\SYGATE\SPF\SMC.EXE" ["Sygate Technologies, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]
OlsAolPerUser\(Default) = "Windows Setup - AOL"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection OlsAolPerUserRemove 64 C:\WINDOWS\INF\ols.inf" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{992CFFA0-F557-101A-88EC-00DD010CCC48}" = "DFÜ-Netzwerk"
-> {CLSID}\InProcServer32\(Default) = "rnaui.dll" [MS]
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}" = "GDI+ file thumbnail extractor"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\THUMBVW.DLL" [MS]
"{FEF10FA2-355E-4e06-9381-9B24D7F7CC88}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\SHELL32.DLL" [MS]
"{53C74826-AB99-4d33-ACA4-3117F51D3788}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\SHELL32.DLL" [MS]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\WINRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL" ["("]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\param32.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"AUHook" = "{BCBCD383-3E06-11D3-91A9-00C04F68105C}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\AUHOOK.DLL" [MS]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is enabled.

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Eigene Dateien\Eigene Bilder\Higgins[1].jpg"


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\3D-ROHRE.SCR" [MS]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]
"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {CLSID}\(Default) = "&Google"
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {CLSID}\(Default) = "MSN"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL" [MS]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {CLSID}\(Default) = "ICQ Toolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {CLSID}\(Default) = "&Google"
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {CLSID}\(Default) = "MSN"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL" [MS]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {CLSID}\(Default) = "ICQ Toolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------



das isser