ich kenn mich mit windows-pc's nicht so aus.
besitze als grafiker einen mac.

das problem:
auf dem rechner meines vaters hat antivir mehrere trojaner gefunden.
leider löscht dieses programm keine komprimierte dateien.
also habe ich alle diese >von hand< gesucht und gelöscht.
es wahren 14 an der zahl.
der pc weigert sich aber eine datei (C:\_RESTORE\ARCHIVE\FS692.CAB) zu löschen, in der zwei trojaner (TR/Dldr.Mediket.BG) laut antivir sein sollen.
ein freund meinte ich solle den computer mit halten der STRG-taste im abgesicherten modus starten und dann könnte ich evt. diese datei löschen. diese taste hat aber nicht funktioniert (windows ME).
dann hat er mir noch das programm adaware gebrannt; mit dem habe ich noch weiter trojaner gefunden und gelöscht. leider hat dieses programm die oben genannten trojaner in der CAB-datei nicht gefunden.
von beiden antivirenprogrammen habe ich die aktuellen virendefinitionen benutzt.
hat jemand bitte eine hilfsidee, bzw. kann mir aus seinem erfahrungsschatz behilflich sein.
danke und grüße von menschenkind

p.s. habe hier schon ein bisschen zum thema rumgelesen und werde wohl ein hijackthis-logfile posten und mir mal die grundsatzdiskussion systembereinigung oder Neuinstallation zu gemüte führen.

Servus, menschenkind!
Wenn, wie in dem von Dir geschilderten Fall, die beanstandete Datei in der Systemwiederherstellung [\restore\...] sitzt, genügt es, einmal die Systemwiederherstellung zu deaktvieren http://www.systemwiederherstellung-d...indows-xp.html , neu zu booten und damit alle Systemwiederherstellungspunkte zu löschen. Anschließend die Systemwiederherstellung wieder aktivieren.
Ein anschließendes HJT-Logfile wäre wirklich nicht schlecht!
bis dann, stupormundi

Hallo,
also durch die Grundsatzdiskussion brauchst du dich nur durchquälen wenn du Backdortrojaner auf dem Computer gefunden hast.
Kleiner Halbsatz zur Begriffsabgrenzung, Ad-Aware ist kein Virenscanner sondern "nur" ein Ad/Spywarescanner.
Zu deinem Problem der Virus/Trojaner ist in der Systemwiederherstellung, das Problem kannst du recht einfach lösen, indem du die Systemwiederherstellung deaktivierst:

Zitat:

Zitat von PCTIPP.CH

Gehen Sie nun zu «Start», damit sich das Startmenü öffnet. Mit der rechten Maustaste klicken Sie nun «Arbeitsplatz» und wählen Sie im aufklappenden Kontextmenü den Punkt «Eigenschaften». Wechseln Sie ins Register «Systemwiederherstellung» und setzen Sie ein Häkchen bei «Systemwiederherstellung deaktivieren». Klicken Sie auf die Schaltfläche «Übernehmen» und bestätigen Sie Ihre Wahl nochmals mit «Ja».

wenn du dann den Computer neu bootest sollte das Problem beseitigt sein. Du solltest dann die Systemwiederherstellung auch wieder aktivieren.

Ein HijackThis Log kannst du mal trotzdem zur allgemeinen Kontrolle posten.

[EDIT]
Irgendwie hat stupormundi den gleichen Inhalt in weniger Text untergebracht, kein Wunder das er schneller war
[/EDIT]


Grüße Wildone

muchas gracias für die schnelle hilfe von stupormundi & Wildone zum thema löschen einer systemwiederherstellungsdatei!
arbeitet ihr öfter im team?

ansonsten denke ich (leider) schon an einen backdoortrojaner. mein (noch unwissenderer als ich) dad hatte mit antivir 2 trojaner gefunden, war dann im internet und darauf habe ich ja nochmal mit antivir über ein dutzend gefunden und weitere mit ad-aware.

ich poste dann hier mal demnächst das hijack-file und die logs von antivir und ad-aware.

grüße vom menschenkind

so, das mit dem löschen hat jetzt funktioniert.
hier nun das log-file von antivir und das von hijackthis.

wenn einer der expertInnen hier im forum bitte mal draufschauen möchte und mich über evt. unliebsame gäste, die sich immer noch auf dem rechner tummeln könnten informieren würde.

danke & weiterhin viel erfolg beim kampf gegen das böse


Erstellungsdatum der Reportdatei: Montag, 17. Oktober 2005 18:05

AntiVir®/9x PersonalEdition Classic
Build 1068 vom 21.09.2005
Hauptptogramm 6.32.00.07 vom 16.09.2005
VDF-Datei 6.32.0.83 (0) vom 14.10.2005


Plattform: Windows 98
Windows-Version: 4.90.3000
Benutzername: ********
Prozessor: Pentium
Arbeitsspeicher: 245176 KB frei
Guard: aktiv

Versionsinformationen:
AVWIN.DLL : 6.32.00.04 528424 21.09.2005 11:14:18
AVEWIN32.DLL : 6.32.0.6 832000 23.09.2005 20:45:02
SYS_RW16.DLL : 6.19.0 12800 06.07.2004 10:51:50
SYS_RW32.DLL : 6.19.0 16384 06.07.2004 10:51:50
AVGCTRL.EXE : 6.32.00.01 127031 21.09.2005 11:14:18
AVGUARD.VXD : 6.32.0.6 546311 23.09.2005 20:45:02
AVPACK32.DLL : 6.31.01.07 327720 21.09.2005 11:14:18
AVGETVER.DLL : 6.30.00.00 24576 16.03.2005 10:17:42
AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:17:42
AVSched32.EXE : 6.32.00.01 110632 21.09.2005 11:14:18
AVSched32.DLL : 6.30.00.00 122880 16.03.2005 10:17:42
AVREG.DLL : 6.31.00.05 41000 21.09.2005 11:14:18
AVRep.DLL : 6.32.00.80 1421352 14.10.2005 16:03:44
INETUPD.EXE : 6.32.00.05 254011 21.09.2005 11:14:18
INETUPD.DLL : 6.32.00.05 159744 21.09.2005 11:14:18
MFC42.DLL : 6.00.8665.0 995383 08.06.2000 17:00:00
MSVCRT.DLL : 6.10.8637.0 290869 08.06.2000 17:00:00
CTL3D32.DLL : 2.31.000 45056 08.06.2000 17:00:00
CTL3DV2.DLL : 2.31.001 27632 08.06.2000 17:00:00


Start des Suchlaufs: Montag, 17. Oktober 2005 18:05

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
ex.cab
ArchiveType: CAB (Microsoft)
--> vbsys2.dll
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
C:\WINDOWS
WIN386.SWP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temporary Internet Files\Content.IE5\YFABITQR
anti[1].cab
ArchiveType: CAB (Microsoft)
--> loopback_install.dll
HINWEIS! Der Archivheader ist defekt
--> reg.reg
HINWEIS! Der Archivheader ist defekt
--> start.INF
HINWEIS! Der Archivheader ist defekt
C:\WINDOWS\Temporary Internet Files\Content.IE5\9RFJTX8E
777[1].cab
ArchiveType: CAB (Microsoft)
--> vbsys2.dll
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
C:\_RESTORE\ARCHIVE
FS692.CAB
ArchiveType: CAB (Microsoft)
--> A0064464.CPY
[FUND!] Ist das Trojanische Pferd TR/Dldr.Mediket.BG
--> A0064473.CPY
[FUND!] Ist das Trojanische Pferd TR/Dldr.Mediket.BG
C:\Programme\AVPersonal\INFECTED
CD0B7DE4.35C
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
3759D8C6.330
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
36E03BE6.2C7
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
DCECCC79.2C8
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
B8029E92.1B1
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
9828B70A.31D
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
FFCCCF6C.3BD
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
18E16D8E.09E
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!
FAAF0634.2D4
[FUND!] Ist das Trojanische Pferd TR/Click.Agent.AC
WURDE GELÖSCHT!

Ende des Suchlaufs: Montag, 17. Oktober 2005 18:49
Benötigte Zeit: 44:06 min


1960 Verzeichnisse wurden durchsucht
92172 Dateien wurden geprüft
1 Warnung wurde ausgegeben
9 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
13 Viren bzw. unerwünschte Programme wurden gefunden


Logfile of HijackThis v1.97.7
Scan saved at 21:38:31, on 18.10.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET T SERIES 9X\BIN\HPOVDX05.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\CARPSERV.EXE
C:\WINDOWS\SYSTEM\USBN.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET T SERIES 9X\BIN\HPOSTR05.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PALM\HOTSYNC.EXE
C:\WINDOWS\SYSTEM\HPOHID05.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.infectopharm.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\Windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\SYSTEM\usbn.exe -go -c52 -w
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - Startup: HP OfficeJet T Series-Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet T Series 9x\Bin\HPOstr05.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

Hallo,
bitte ein HijackThis Log mit der aktuellen Version(1.99.1) erstellen aber ich sehe da schon den ein oder anderen Eintrag der da nicht hin gehört.
Beende auch mal diesen Prozess:
C:\WINDOWS\SYSTEM\USBN.EXE

prüfe die zugehörige Datei hier und poste das Ergebnis.


Grüße Wildone

Servus, menschenkind!
Servus, wildone!
Den Eintrag bzw. diese Datei

Zitat:

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe

würde ich ergänzend auch mal bei Jotti anschauen lassen
gts @all, stupormundi

Zitat:

Zitat von Wildone

Beende auch mal diesen Prozess:
C:\WINDOWS\SYSTEM\USBN.EXE

wie beende ich denn einen prozess?
tut mir leid, aber ich bin absoluter laie auf dem pc.

ich werd dann nochmal mit der aktuellsten hijackthis-version scannen und die vorgeschlagenen dateien bei jotti prüfen lassen.

danke wieder für die zügige hilfe und bis später ...

Hallo menschenkind,

lade Dir clearprog 1.4.1 final .

Programm starten Häckchen bei "alles löschen" und auf "löschen" klicken.

Falls Du nicht mit reinem DSL ins netz gehst sichere folgende Dateien (da Dialer) auf einem Datenträgern, um gegen erhöhe Online-Rechnungen vorzugehen:
C:\WINDOWS\SYSTEM\USBN.EXE
c:\ex.cab

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe folgende Einträge (Scan mit HJT und Häckchen vor Eintrag):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.infectopharm.com/ <-- falls unbekannt
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\SYSTEM\usbn.exe -go -c52 -w
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

Lösche manuell:

C:\WINDOWS\SYSTEM\usbn.exe
C:\WINDOWS\SYSTEM\msmsgs.exe
c:\ex.cab

Desweiteren führe dies durch.

dartus

Hallo,
einen Prozess beendest du im Taskmanager (Aufruf über ctrl alt entf) dann Rechtsklick auf den Prozess und "Prozess beenden" wählen.

@Dartus
Hast du gesicherte Erkenntnisse über die usbn.exe?

Grüße Wildone

Hallo Wildone,

guckst Du hier:

http://www.sophos.de/virusinfo/analy...ldialereb.html

dartus

Hallo,
ja das sieht schlüssig aus, das wird er wohl sein.

@menschenkind
dann vergiß die Überprüfung der Datei und befolge die Anweisungen aus #9 von dartus.


Grüße Wildone

Hallo, Leute!
Was ist mit dem von mir zitierten Eintrag

Zitat:

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe

ist das nicht der hier gewesen?
http://securityresponse.symantec.com...an.zlob.b.html
Wurde nicht überprüft - nicht notwendig?
stupormundi

danke erstmal für weitere hilfe von dartus.

ich hatte heute leider nicht viel zeit bei meinem dad nach dem rechten zu schauen.
deshalb hab ich erstmal die aktuelle version von HijackThis aus dem netz geladen und die datei usbn.exe bei jotti prüfen lassen.
ergebnis:
usbn.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Trojan/Dialer.MB gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Dialer.ASL gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.2163 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Dial/RAS gefunden
Kaspersky Anti-Virus Trojan.Win32.Dialer.mb gefunden
NOD32 Win32/Dialer.EB gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.DownLoader.2163 gefunden
20.10. 16.08 Uhr

werde morgen wieder bei meinem dad die empfohlene vorgehensweise von dartus abarbeiten.
die msmsgs.exe habe ich nicht mehr gefunden, war aber im zeit-terminstress und kann sie übersehen haben. also morgen wieder mal ein ungeplanter besuch bei meinen eltern.

grüße von menschenkind

so, ich hab nun alle programme runtergeladen und die vorgehensweise von dartus befolgt. dabei weitere viren entfernt.
jetzt wäre die frage, wie ich das system schützen kann.
gibt es sicherheitsupdates für windows ME?
sollte mein vater firefox statt IE benutzen?
und ein anderes mailprogramm als outlook express?
mit spy-bot habe ich immunisiert ohne zu wissen, was ich da gemacht habe, bringt das was?
und hier das neue logfile von hijackthis:
Logfile of HijackThis v1.99.1

Scan saved at 20:35:45, on 23.10.2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET T SERIES 9X\BIN\HPOVDX05.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE

C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE

C:\PROGRAMME\WINAMP\WINAMPA.EXE

C:\WINDOWS\CARPSERV.EXE

C:\PROGRAMME\THE CLEANER\TCA.EXE

C:\PROGRAMME\THE CLEANER\TCM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE

C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET T SERIES 9X\BIN\HPOSTR05.EXE

C:\PALM\HOTSYNC.EXE

C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

C:\WINDOWS\SYSTEM\HPOHID05.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAMME\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.infectopharm.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\Windows\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [tcactive] C:\PROGRAMME\THE CLEANER\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMME\THE CLEANER\tcm.exe

O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: HP OfficeJet T Series-Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet T Series 9x\Bin\HPOstr05.exe

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

infectopharm.com ist die startseite von meinem vater. das ist o.k.
wäre nett nochmal kompetente meinungen zu lesen.
viele grüße von menschenkind