Hallo Forum,

ich bin in diversen Yahoo-Groups, von denen einige vor kurzer Zeit durch Viren zerstört wurden. Außerdem
erhalte ich seit einiger Zeit immer wieder mails mit dem neuen Nyxem.E e-Mail-Wurm. Ich dachte mir nichts
weiter dabei, bis ich vorgestern eine mail von einem Forum-Moderator bekam, in dem er mich fragte, warum ich
denn Sex-Seiten im Forum poste.

Daraufhin habe ich natürlich gleich mein System nach Infektionen untersucht. Habe Ad-Aware und Spy-Bot
nach einem Update laufen lassen. Die haben nichts wirklich wichtiges gefunden. Als ich nach einem update
AntiVir PE laufen ließ, hat er nach ein paar Minuten abgebrochen (s. Report-File unten).

Da ich zuerst davon aus ging, dass es sich um den Nyxem.E handelt, habe ich ein Entfernungstool von Symatec
laufen lassen (s. Heise-Artikel http://www.heise.de/newsticker/meldung/68660). Es wurde nichts gefunden.
Dann habe ich weitere Tools ausprobiert:
- Kasperski
- avast
- PestPatrol
- F-Secure online scan

Die haben alle nichts gefunden, sind aber wenigstens bis zum Ende gleaufen. Habe auch AntiVir neu installiert
und es nochmal versucht. Hat aber wieder abgebrochen.

In der Zwischenzeit habe ich natürlich mehrere Neustarts des PCs gemacht. Nach einem dieser Neustarts hat
Spybot SD gefragt, ob ich einen Registrierungseintrag von delus.exe erlauben will. Dazu habe ich folg. Artikel
gefunden:

"Der delus Prozess gehört zur Software delus der Firma H+BEDV Datentechnik GmbH (www.free-av.com).
Charakteristik: delus.exe befindet sich in einem Unterordner von "C:\Documents and Settings". Bekannte
Dateigrößen unter Windows XP sind 73848 bytes (90% aller Vorkommen), 77824 bytes.
Das Programm hat ein sichtbares Fenster. Es gibt zu diesem Programm keine genaue Beschreibung. Der Prozess
startet wenn Windows startet (siehe Registry Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce). Diese Datei ist
keine Windows System Datei. Deshalb bewerten wir diese Datei zu 27% als gefährlich.
Hinweis: Viren und andere schädliche Dateien können sich als delus.exe tarnen. Insbesondere, wenn sich die
Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei
dem Prozess delus.exe auf Ihrem PC um einen Schädling handelt. Möchten Sie die Sicherheit Ihres PCs
überprüfen, so empfehlen wir Ihnen die Software Security Task Manager.

Darauf hin habe ich delus zunächst nicht erlaubt. Nachdem Antivir wieder nicht funktionierte und nach einem
Neustart die Meldung kam, daß die delus.exe nicht gefunden wurde, die sich bei mir im Ordner

C:\Dokumente und Einstellungen\My Home\Lokale Einstellungen\Temp

befinden soll, habe ich die Registrierung von delus.exe erlaubt, die Datei aber nicht am angegebenen Ort
gefunden (habe auch versteckte Dateien durchsucht).

Gerade eben habe ich versucht AntiVir upzudaten (delus.exe Registrierung habe ich dabei nicht erlaubt). Das
Update wurde abgebrochen.

Bevor ich rangehe und herausfinde was die ganzen laufenden Prozesse bei mir bedeuten, möchte ich mich an
euch wenden. Wie ich sehe habt Ihr schon vielen verzweifelten PC-Usern geholfen habt.

Folgend die Report-Datei von AntiVir und das Log-File von HijackThis die Ihr zur Analyse meines Problems
braucht. Vielleicht sollte ich auch die Einstellungen von Antivir ändern?

Würde mich riesig freuen, wenn mir jemand helfen könnte.

Boris


---ANTIVIR_start----


Erstellungsdatum der Reportdatei: Donnerstag, 26. Januar 2006 09:28

AntiVir®/XP (2000 + NT) PersonalEdition Classic
Build 1114 vom 04.11.2005
Hauptptogramm 6.32.00.51 vom 03.11.2005
VDF-Datei 6.33.0.164 (0) vom 26.01.2006

...

Es wird nach 292819 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149991-WURGE-0001

...

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: My Home
Computername: BORIS
Prozessor: Pentium
Arbeitsspeicher: 522640 KB frei

Versionsinformationen:
AVWIN.DLL : 6.32.00.51 532520 04.11.2005 07:48:30
AVEWIN32.DLL : 6.33.0.77 1008128 25.01.2006 17:22:46
AVGNT.EXE : 6.32.00.02 180327 03.11.2005 16:55:56
AVGUARD.EXE : 6.32.00.12 208424 03.11.2005 16:55:56
GUARDMSG.DLL : 6.31.00.01 98344 29.04.2005 08:06:42
AVGCMSG.DLL : 6.32.00.01 299125 03.11.2005 16:55:56
AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:06:40
AVPACK32.DLL : 6.32.00.02 319528 03.11.2005 16:51:22
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:12
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.32.00.01 110632 20.09.2005 14:16:20
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.31.00.05 41000 07.09.2005 16:34:42
AVRep.DLL : 6.33.00.155 1650728 25.01.2006 17:23:04
INETUPD.EXE : 6.32.00.53 262203 04.11.2005 07:50:26
INETUPD.DLL : 6.32.00.53 159744 04.11.2005 07:50:26
CTL3D32.DLL : 2.31.000 27136 29.08.2002 13:00:00
MFC42.DLL : 6.02.4131.0 1028096 03.08.2004 23:57:24
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 03.08.2004 23:57:30
CTL3DV2.DLL : 2.31.000 27632 13.12.1996 23:00:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN
.BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE*
.FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS*
.JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG
.PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS
.SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD
.WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\MYHOME~1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
C: Festplatte
D: CDRom
E: Festplatte
F: Festplatte
G: Festplatte
H: Diskettenlaufwerk
I: Diskettenlaufwerk
J: Diskettenlaufwerk
K: Diskettenlaufwerk

Start des Suchlaufs: Donnerstag, 26. Januar 2006 09:28

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Master-Bootsektor von Festplatte HD2 OK
Master-Bootsektor von Festplatte HD3
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Master-Bootsektor von Festplatte HD4
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Master-Bootsektor von Festplatte HD5
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Master-Bootsektor von Festplatte HD6
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK


Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\

WARNUNG! Zugriffsfehler/Datei gesperrt!
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
WindowsSecurityCenterAntiVirusOverride.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\My Home\Eigene Dateien\_Wissensmanagement\Datenbank\nicht in
DB\_Bücher\Verlage\Rainer Hampp\_S_Weiterbildung - Personalentwicklung - Organisationales Lernen\Flankierende Personalentwicklung durch Mentoring
abstract.html:KAVICHS
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\Dokumente und Einstellungen\My Home\Eigene Dateien\_Wissensmanagement\Datenbank\nicht in
DB\_Bücher\Volltext\Symposion\Barske et al - Innovationsmanagement\_Volltext\Quality Function Deployment für den Dienstleistungsbereich (leseprobe)-Dateien

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\My Home\Eigene Dateien\_Wissensmanagement\Datenbank\nicht in
DB\_Journale\_Blackwell\Journal of Economics & Management Strategy_eUB\Vol 14, Issue 2 2005_v\Learning
by Exporting\Learning by Exporting-Dateien
script(1).js:KAVICHS
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\My Home\Eigene Dateien\_Wissensmanagement\Datenbank\nicht in
DB\_Journale\_Blackwell\Journal of Management Studies_eUB\Vol 41, Issue 8 2004_v\Knowledge Stocks and
Information Flows\HTML\Knowledge Stocks-Dateien
script.js:KAVICHS
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\Dokumente und Einstellungen\My Home\Eigene Dateien\_Wissensmanagement\Datenbank\nicht in
DB\_Journale\_Crain Communications\Workforce\Features\1999 Competitive Advantage Optimas Award
Profile\1999 Competitive Advantage Optimas Award-Dateien

WARNUNG! Zugriffsfehler/Datei gesperrt!
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002

WARNUNG! Zugriffsfehler/Datei gesperrt!
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\My Home\Eigene Dateien\_Wissensmanagement\Datenbank\nicht in
DB\_Journale\_dpunkt Verlag\HDM Praxis der Wirtschaftsinformatik_ub\Heft 213, 2000 CSCW
Der Groupware-Einsatz im prozessorientierten Team-Controllingsystem.htm:KAVICHS
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis Heft 234, 2003 Web-Services
Fehler beim Wechsel in das Verzeichnis Heft 236, 2004 IT-Sicherheit
Fehler beim Wechsel in das Verzeichnis Heft 241, 2005 Business Engineering
Fehler beim Wechsel in das Verzeichnis Heft 242, 2005 Virtuelle Organisation
Fehler beim Wechsel in das Verzeichnis Heft 246, 2005 Wissensmanagement
Fehler beim Wechsel in das Verzeichnis WINDOWS
...

Ende des Suchlaufs: Donnerstag, 26. Januar 2006 09:33
Benötigte Zeit: 04:57 min


2368 Verzeichnisse wurden durchsucht
21042 Dateien wurden geprüft
10 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

---ANTIVIR_end---

---HIJACKTHIS_start---

Logfile of HijackThis v1.99.1
Scan saved at 09:35:41, on 26.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\My Home\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} –
C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} –
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} –
c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} –
C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat
6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} –
c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [hpsjbmgr] C:\SCANJET\PrecisionScanLT\hpsjbmgr.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\MYHOME~1\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Canon LBP-800-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen –
res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite –
res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} –
C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: WhoisAssistant - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} –
C:\Programme\WhoisAssistant\WhoisAssistantDirect.exe
O9 - Extra 'Tools' menuitem: &WhoisAssistant starten - {1153C29A-2A1C-12E3-A2A3-00D1A2F21300} –
C:\Programme\WhoisAssistant\WhoisAssistantDirect.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} –
C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} –
C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} –
C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} –
C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} –
C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) –
http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-
secure.com/ols/fscax.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH –
C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany –
C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC –
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

---HIJACKTHIS_end---

s. oben!!! Hab zu spät bemerkt, daß ich das ganze noch nachträglich editieren kann.

Sorry
Boris