Zitat:

Eine andere Version „wirbt“ für AntivirusGold.

Folgende Einträge werden von HijackThis erkannt:

O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\system32\hookdump.exe

Diese sind mittels HijackThis zu fixen. Auch hier müssen zugehörige Ordner selbstverständlich manuell gelöscht werden.

Beachte: Je nach verwendetem Betriebssystem können sich die Pfadnamen leicht unterscheiden.

Zusätzlich sind im Windows-Ordner noch folgende Dateien zu löschen:

desktop.html <-- diese gehört zu u.g. Screenshot
screen.html

Das penetrante Hintergrundbild ist wie folgt zu entfernen. :



Diese .reg Datei sollte den Desktop wieder nutzbar machen.

Ich hab alles gemacht wie ihr es hier oben erklaert habt.
Doch leider hat das ganze ihrgendwie nicht funktioniert!?!

Warum?

Folgendes der banner:


ist zwar weg aber nun hab ich das:
(Siehe anhang)
Das Desktop flimmert so komisch weg und es ist keine datei mehr zu finden

Hier die log von Hijackthis:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 05:20:41, on 14.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Peppi\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1118706200218
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Waere verdammt nett wen mir jemand helfen kann will rechner net schonwieder formatieren und ich weiss netmal von wo ich den hab zumal ich auf keinen schlimmen seiten war.
Dazu Erkennt Antivir nichts mehr sowie spybot search and destroy

mfg
Peppi

*Edit*
Desk1+2 = Was auf meinem Desktop abgeht
Desk3 = Wenn ich rechtsklick und auf eigenschaften geh. (bedenke die datei gibt es aber nemmer)

Huhu mal wieder,

Ich hab da noch ne frage.
Ich habe die screen.html nun mal selbststaendig eingefügt aber mit folgendem inhalt:

Zitat:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----***** This file is automatically generated by Microsoft Windows *****--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY
style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none"
bottomMargin=0 bgColor=#004e98 leftMargin=0 background="" topMargin=0
rightMargin=0>
<DIV
style="LEFT: 0px; WIDTH: 1400px; POSITION: absolute; TOP: 0px; HEIGHT: 1050px"><IMG
style="LEFT: 0px; WIDTH: 100%; POSITION: absolute; TOP: 0px; HEIGHT: 100%" cache
src="file:///C:/WINDOWS/web/wallpaper/Gr%FCne%20Idylle.bmp"> </DIV><IFRAME id=1
style="Z-INDEX: 1002; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1400px; POSITION: absolute; TOP: 1px; HEIGHT: 985px"
name=DeskMovrW marginWidth=0 marginHeight=0 src="file:///C:/WINDOWS/screen.html"
frameBorder=0 scrolling=no subscribed_url="" resizeable="????"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 1001; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1402px; POSITION: absolute; TOP: 0px; HEIGHT: 987px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>&nbsp;
</BODY></HTML>

Wenn ich nun die datei anklicke zeigt sie mir mein normales desktop bild aber ihrgendwie aendert sich das desktop nicht
Ich glaub ich komme um ein wiedermals Format C net rum

@Peppi
ich weiss netmal von wo ich den hab zumal ich auf keinen schlimmen seiten war.
dein problem fängt hier an
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
ein ungepatchtes system.
system und IE bitte updaten

scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Hallo.

Danke fuer die antwort, mit den updates hast du recht werd ich sofort machen sobald ich das prob ihrgendwie beheben konnte.

Also ich hab nun eScan gemacht,und folgendes hat die Virus Log Info ausgespuckt:

Zitat:

Zitat von Virus Log von eScan

Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\HPGetDownloadManager.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\HPGetDownloadManager.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{320154BB-D666-48F6-990E-172B32954620}" refers to invalid object "C:\Programme\eDonkey2000\plugins\ed2kie.dll". Action Taken: No Action Taken.
Entry "HKCR\SpyDoctor.EBankProblem" refers to invalid object "{AE612304-E8F9-45D9-A444-32409D33E954}". Action Taken: No Action Taken.
Entry "HKCR\SpyDoctor.QuarantinedItemProxy" refers to invalid object "{C2CE6266-0404-4C54-96B4-8829852E3537}". Action Taken: No Action Taken.
Entry "HKCR\SpyDoctor.ScripterProxy" refers to invalid object "{9FEF02F5-B3B8-4D7B-8939-72A1C989D1B9}". Action Taken: No Action Taken.
File C:\!Submit\fuck1ng[2].com infected by "Trojan-Clicker.HTML.IFrame.a" Virus! Action Taken: No Action Taken.
File C:\!Submit\iasada.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.b". Action Taken: No Action Taken.
File C:\!Submit\index[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
File C:\!Submit\index[3].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
File C:\!Submit\pumba2.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.d". Action Taken: No Action Taken.
File C:\!Submit\s8CVGL6x_BBzUpPr0dIv[1].chm infected by "Trojan-Downloader.Win32.Small.amb" Virus! Action Taken: No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
File C:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
File C:\System Volume Information\_restore{1852149E-1B07-4D2B-94F5-C13DA633338A}\RP17\A0003687.exe tagged as not-a-virus:Tool.Win32.ExitWin.b. No Action Taken.
File C:\System Volume Information\_restore{1852149E-1B07-4D2B-94F5-C13DA633338A}\RP30\A0006976.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{1852149E-1B07-4D2B-94F5-C13DA633338A}\RP30\A0006977.dll tagged as "not-a-virus:AdWare.ToolBar.Azesearch.d". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{1852149E-1B07-4D2B-94F5-C13DA633338A}\RP5\A0000802.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
File C:\Valve\Steam\SteamApps\pia_pan@web.de\counter-strike\cstrike\ProblemFixer.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Valve\Steam\SteamApps\pia_pan@web.de\counter-strike\cstrike\SayscriptKonfiguration.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Valve\Steam\SteamApps\pia_pan@web.de\counter-strike\cstrike\UninstallEsseX.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:Tool.Win32.Destart. No Action Taken.

(Die dicke schrift (Files) hab ich per killbox gelöscht)
Dann hier noch die ERROR Info's die aus der Logdatei entnommen habe:

Zitat:

Zitat von ERROR Log von eScan

Tue Jun 14 05:31:11 2005 => ***** Scanning Registry for errors created because of Spyware/Spyware *****
Tue Jun 14 05:31:11 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\HPGetDownloadManager.ocx". Action Taken: No Action Taken.
Tue Jun 14 05:31:11 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\HPGetDownloadManager.ocx". Action Taken: No Action Taken.
Tue Jun 14 05:31:21 2005 => Entry "HKCR\CLSID\{320154BB-D666-48F6-990E-172B32954620}" refers to invalid object "C:\Programme\eDonkey2000\plugins\ed2kie.dll". Action Taken: No Action Taken.
Tue Jun 14 05:31:49 2005 => Entry "HKCR\SpyDoctor.EBankProblem" refers to invalid object "{AE612304-E8F9-45D9-A444-32409D33E954}". Action Taken: No Action Taken.
Tue Jun 14 05:31:49 2005 => Entry "HKCR\SpyDoctor.QuarantinedItemProxy" refers to invalid object "{C2CE6266-0404-4C54-96B4-8829852E3537}". Action Taken: No Action Taken.
Tue Jun 14 05:31:49 2005 => Entry "HKCR\SpyDoctor.ScripterProxy" refers to invalid object "{9FEF02F5-B3B8-4D7B-8939-72A1C989D1B9}". Action Taken: No Action Taken.
Tue Jun 14 05:42:34 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Tue Jun 14 05:42:34 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys
Jun 14 10:51:03 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\Peppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ORBZISDH\aawsepersonal[1].exe is Not Scanned
Tue Jun 14 10:53:38 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\Peppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXHMJY5C\prompt[1].htm: Scanning Failure!!!
Tue Jun 14 10:53:38 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\Peppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXHMJY5C\prompt[1].htm
Tue Jun 14 10:55:43 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Tue Jun 14 10:55:43 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys
Tue Jun 14 11:05:17 2005 => Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned
Tue Jun 14 11:05:17 2005 => C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask not Scanned. Possibly password protected...

Das komische an der sache ist ja zudem, als ich rechner gestartet hab war alles noch clean dann hab ich angefangen ein spiel zu spielen und bemerkte das des system anfaengt zu ruckeln, ich hab danach das spiel beendet und merkte das der "Daten Empfang" aus dem inet in die höhe ging.

Danach hab ich das netzwerkkabel gezogen und einen neustart gemacht und bam hatte ich das komische ding

Und meine Inet History ist zu 100% folgende seiten seid dem Format:

h**p://www.droidwars.de ............ (BrowserGame)
h**p://www.ebay.de
h**p://www.freemail.de
h**p://www.norskit.de ............ (Hardware Händler)
h**p://www.gummigeruch.de ............ (BrowserGame)
h**p://www.gamecopyworld.com
h**p://www.megagames.com

Dazu nutze ich Mozilla Firefox ... IE benutze ich grundsaetzlich nicht, auf weiteren seiten war ich def noch nicht. Und mail programm nutze ich Mozilla Thunderbird.

P.S.: Die Gesammte eSacan Log hat 15,8 MB

Zitat:

Tue Jun 14 11:59:31 2005 => ***** Checking for specific ITW Viruses *****
Tue Jun 14 11:59:31 2005 => Checking for Welchia Virus...
Tue Jun 14 11:59:31 2005 => Checking for LovGate Virus...
Tue Jun 14 11:59:31 2005 => Checking for CodeRed Virus...
Tue Jun 14 11:59:31 2005 => Checking for OpaServ Virus...
Tue Jun 14 11:59:31 2005 => Checking for Sobig.e Virus...
Tue Jun 14 11:59:31 2005 => Checking for Winupie Virus...
Tue Jun 14 11:59:31 2005 => Checking for Swen Virus...
Tue Jun 14 11:59:31 2005 => Checking for JS.Fortnight Virus...
Tue Jun 14 11:59:31 2005 => Checking for Novarg Virus...
Tue Jun 14 11:59:31 2005 => Checking for Pagabot Virus...
Tue Jun 14 11:59:31 2005 => Checking for Parite.b Virus...
Tue Jun 14 11:59:31 2005 => Checking for Parite.a Virus...
Tue Jun 14 11:59:31 2005 => Checking for Adware.SeekSeek Virus...

Tue Jun 14 11:59:31 2005 => ***** Scanning complete. *****

Tue Jun 14 11:59:31 2005 => Total Objects Scanned: 75048
Tue Jun 14 11:59:31 2005 => Total Virus(es) Found: 17
Tue Jun 14 11:59:31 2005 => Total Disinfected Files: 0
Tue Jun 14 11:59:31 2005 => Total Files Renamed: 0
Tue Jun 14 11:59:31 2005 => Total Deleted Objects: 0
Tue Jun 14 11:59:31 2005 => Total Errors: 11
Tue Jun 14 11:59:31 2005 => Time Elapsed: 01:16:02
Tue Jun 14 11:59:31 2005 => Virus Database Date: 2005/06/13
Tue Jun 14 11:59:31 2005 => Virus Database Count: 134428

Tue Jun 14 11:59:31 2005 => Scan Completed.

Edit:
Ich Glaub ich hab das Desktop Prob gelöst und zwar:
Desktop --> Rechtsklick --> Eigenschaften --> Desktop --> Deskto Anpassen --> Web --> (dateiname) --> Löschen.
Nun ist das komische blinken weg aber ich weiss net ob da noch reste sind was ich ja schwer vermute!

Hallo,
ich hab das gleiche Problem.Hab einen blinkenden Hintergrund und bekomme ihn einfach nicht weg.
Ich hoff ihr könnt mir helfen.

Hier ein Log File von Hjack:

Logfile of HijackThis v1.99.1
Scan saved at 18:43:42, on 11.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\intmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Kevin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp55A1.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097064791488
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D4B77F1-14C7-44E6-979A-44505B82FC2A}: NameServer = 192.168.115.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{806D794F-698E-4C9D-B1C8-B86263C2A612}: NameServer = 192.168.2.27
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D4B77F1-14C7-44E6-979A-44505B82FC2A}: NameServer = 192.168.115.100
O18 - Filter: text/html - {C86B69D0-BBBC-492A-A117-85AF4CD2EDF7} - C:\WINDOWS\System32\ckkf.dll
O18 - Filter: text/plain - {C86B69D0-BBBC-492A-A117-85AF4CD2EDF7} - C:\WINDOWS\System32\ckkf.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

@ Kev77

Da schaust du am besten mal hier:

http://www.trojaner-board.de/showthread.php?t=17863

@ peppi

Du mußt auch den gesamten Thread abarbeiten und nicht nur partiell.