Hallo,

hab mir neulich was eingefangen. Mit Anti Vir wurden 28 Würmer entdeckt.
Microsoft Pop Ups gingen auf welche sagte, mein PC sei ein Risiko und es wurden Aktivitäten entdeckt, die darauf hindeuten, jemand wolle sich Daten ziehen.

Mit Stopzilla funktioniert mein Rechner wieder aber ich kanns mit der Demo Version nicht löschen.

Hier ein HJT im abgesicherten Modus:

Logfile of HijackThis v1.99.1
Scan saved at 09:05:29, on 27.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1017A24B-257D-16EF-4FEE-A6CD064A88D5} - C:\WINDOWS\addyy.dll
O2 - BHO: Class - {318AF0FE-8F61-68F3-BABD-EFC8EBAA3011} - C:\WINDOWS\crmu.dll
O2 - BHO: Class - {DA211C7E-80D9-4852-98A8-572088007AC3} - C:\WINDOWS\winim.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Programme\STOPzilla!\SZIEBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Admin\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [ipms32.exe] C:\WINDOWS\system32\ipms32.exe
O4 - HKLM\..\Run: [apiqo32.exe] C:\WINDOWS\apiqo32.exe
O4 - HKLM\..\Run: [STOPzilla] C:\Programme\STOPzilla!\STOPzilla.exe /autostart
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [_Windows] C:\WINDOWS\WinSecurity\services.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O9 - Extra button: BINGOOO - {2FA48DEE-E54D-422F-98A7-E03F05BF8B18} - C:\Programme\D\Bingooo\bingooo.exe
O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted IP range: 81.222.131.50
O15 - Trusted IP range: 81.222.131.50 (HKLM)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mslj.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: STOPzilla Service (szserver) - Unknown owner - C:\Programme\Gemeinsame Dateien\STOPzilla!\szserver.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)


ist für mich nur Fachlaitein...

Grüße

Stefan

Dass Du Probleme hast, kommt auch davon:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Schon mal was von SP2 und Updates gehört??????
Unbedingt www.windowsupdate.com besuchen und alle Updates und Patches installieren.

Der PC ist definitiv nicht sauber! Kommte auch daher, wenn man engen Kontakt zu Seiten in Rußland hat:
81.222.131.50

http://www.ripe.net/perl/whois/?form..._search=Search
In das System gehören nicht solche Sachen wie:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

O15 - Trusted IP range: 81.222.131.50
O15 - Trusted IP range: 81.222.131.50 (HKLM)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mslj.exe (file missing)
Bei einigen anderen Sachen bin ich mir nicht sicher.

Lade und update Ad-aware sowie Spybot S&D und lasse die Programme laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html
Installiere Clearprog, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/
http://www.ewido.net/de/download/
Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.
Lade RegSeeker
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Gehe in die Systemsteuerung->Software und entferne Dir unbekannte Programme.
Und am Ende mache einen escan genau nach Anleitung und poste das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

Ach du heiliger Bimbam und Kanonenrohr!! Dein PC ist übelst verseucht!
Ich hoffe du kennst dich mit dem Programm aus und weißt wie man die gefährlichen Dateien fixt/löscht!?

Und zwar diese hier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ptqdi.dll/sp.html#10001%

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {1017A24B-257D-16EF-4FEE-A6CD064A88D5} - C:\WINDOWS\addyy.dll

O2 - BHO: Class - {318AF0FE-8F61-68F3-BABD-EFC8EBAA3011} - C:\WINDOWS\crmu.dll

O2 - BHO: Class - {DA211C7E-80D9-4852-98A8-572088007AC3} - C:\WINDOWS\winim.dll

Da bin ich mir nicht sicher:

O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Admin\LOKALE~1\Temp\ImInstaller\Incred iMail\incredimail_install.exe -startup -product IncrediMail

Und folgendes mal bei h**p://virusscan.jotti.org/ untersuchen lassen:

O4 - HKLM\..\Run: [ipms32.exe] C:\WINDOWS\system32\ipms32.exe

O4 - HKLM\..\Run: [apiqo32.exe] C:\WINDOWS\apiqo32.exe

Und was ist mit der IP? : O15 - Trusted IP range: 81.222.131.50

Wenn du die nicht kennst, fixen!

O9 - Extra button: BINGOOO - {2FA48DEE-E54D-422F-98A7-E03F05BF8B18} - C:\Programme\D\Bingooo\bingooo.exe

Sollte dir der Begriff bingooo nichts sagen auch das fixen!

Am Ende den PC neustarten und noch mal einen Scan machen, abspeichern und unter w*w.hijackthis.de selbst auswerten lassen

Hoffe es hat geholfen, Greeetings aus M

Hallo,

was wollt ihr noch an an einem verseuchten und ungepatchen System bereinigen??

Zumal einiges auf einen Bakdoor-Trojaner hinweist und zum anderen eine saubere Bereinigung kaum möglich ist.

Mein Rat:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

Hallo,

Zitat:

Zitat von Ong Bak

Ach du heiliger Bimbam und Kanonenrohr!! Dein PC ist übelst verseucht!
Ich hoffe du kennst dich mit dem Programm aus und weißt wie man die gefährlichen Dateien fixt/löscht!?

@ Ong Bak = Wenn man in seinen ersten Posts derart Ratschläge gibt, schon die ein oder andere Meinung dazu bekommen hat, sollte man einfach mal die Finger ruhig halten und mitlesen.
Wenn Du Dir selber nicht sicher bist, wie willst Du dann Ratschläge geben??
Es ist ja toll, wenn Du Dich einbringen willst, aber bitte in Maßen.
@dartus = Ack!

Gruß

Schrulli

Hi,

also diese russische Seite ist mir völlig unbekannt. Habe ich zum ersten mal gesehen ( Erinnert mich auch ein bischen an Werner Beinhart: Du schau mal in Keller.... ich glaub die Russen sin do)

Andererseits wußte ich nicht, das soo beschissen um meinen Rechner steht.
Es wurde vor einigen Jahren von einem Bekannten alles gemacht...

Ich benutze den Firefox, Clearprog und Adaware sind Standard.

Mit dem RegSeeker komm ich nicht zurecht.

Aber hier das Ergebnis vom escan und ewido.

escan:

Sat Jan 28 00:11:42 2006 => Scanning File C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Manager_Free\Icons\Tagged Image File Format.ico

Sat Jan 28 00:30:40 2006 => File C:\WINDOWS\apixk.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:35:31 2006 => File C:\WINDOWS\ntfv32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:36:59 2006 => File C:\WINDOWS\system32\atluz32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:39:26 2006 => File C:\WINDOWS\system32\d3na.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:44:47 2006 => File C:\WINDOWS\system32\mfcdg.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:46:24 2006 => File C:\WINDOWS\system32\winen32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:46:40 2006 => File C:\WINDOWS\WinSecurity\socket1.ifo infected by "Email-Worm.Win32.Sober.y" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:46:40 2006 => File C:\WINDOWS\WinSecurity\socket2.ifo infected by "Email-Worm.Win32.Sober.y" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:46:40 2006 => File C:\WINDOWS\WinSecurity\socket3.ifo infected by "Email-Worm.Win32.Sober.y" Virus! Action Taken: No Action Taken.

Sat Jan 28 00:55:45 2006 => Total Disinfected Objects: 0

Fri Jan 27 23:54:37 2006 => File C:\WINDOWS\system32\appuu32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.

Fri Jan 27 23:54:45 2006 => File C:\WINDOWS\apiqo32.exe infected by "Trojan-Downloader.Win32.Agent.td" Virus! Action Taken: No Action Taken.

Fri Jan 27 23:55:02 2006 => System found infected with toprebates Spyware/Adware (belt.ini)! Action taken: No Action Taken.

Fri Jan 27 23:55:02 2006 => System found infected with abetterinternet Spyware/Adware (bi.ini)! Action taken: No Action Taken.

Fri Jan 27 23:55:02 2006 => System found infected with p0rn related Spyware/Adware (mdv_32.dll)! Action taken: No Action Taken.

Fri Jan 27 23:55:04 2006 => System found infected with clientman Spyware/Adware (app.dat)! Action taken: No Action Taken.

Fri Jan 27 23:55:04 2006 => System found infected with smartfinder Spyware/Adware (only sex website.url)! Action taken: No Action Taken.

Fri Jan 27 23:55:04 2006 => System found infected with smartfinder Spyware/Adware (search the web.url)! Action taken: No Action Taken.

Fri Jan 27 23:55:04 2006 => System found infected with smartfinder Spyware/Adware (seven days of free porn.url)! Action taken: No Action Taken.

Sat Jan 28 00:01:54 2006 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{0E3791A8-831F-4400-9C20-3DF07CEA23D6}\Message Store\Inbox.imm infected by "Email-Worm.Win32.NetSky.d" Virus! Action Taken: No Action Taken.

und hier ewido; ich habs zwei mal laufen lassen und beide Logs gespeichert - allerdings wurde beim Speichern das erste überschrieben. Im ersten waren ungefähr 320 Funde und dies wurden auch entfernt. Danke erst mal dafür!!!

ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:56:54, 27.01.2006
+ Report-Checksumme: 2618CBC1

+ Scanergebnis:

C:\Program Files\SpySheriff\Uninstall.exe -> Adware.SpySheriff : Ignoriert
HKLM\SOFTWARE\Classes\BHO.BHO -> Spyware.ZyWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BHO.BHO\CLSID -> Spyware.ZyWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BHO.BHO\CurVer -> Spyware.ZyWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BHO.BHO.1 -> Spyware.ZyWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{05971453-FE87-CB75-BB1F-338A196198B0} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{26295C5E-1D2B-957E-13D5-E067A9719F29} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{E647591B-D33E-72B8-A7F0-9D55C2A7369D} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{26295C5E-1D2B-957E-13D5-E067A9719F29} -> Spyware.CoolWebSearch : Gesäubert mit Backup


::Report Ende

Sorry ich hoffe ich hab nicht wichtige Infos mit dem überspeichern zerstört.

Updates und Patches werden mach ich jetzt.

Danke

Stefan

Hast Du den Escan vor ewido gemacht?
Wenn nein, muss ich mich der Meinungen von Dartus anschließen, weil:
Sat Jan 28 00:30:40 2006 => File C:\WINDOWS\apixk.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
hxxp://www.sophos.de/virusinfo/analyses/trojagentde.html

und

Sat Jan 28 00:46:40 2006 => File C:\WINDOWS\WinSecurity\socket1.ifo infected by "Email-Worm.Win32.Sober.y" Virus! Action Taken: No Action Taken.
hxxp://www.f-secure.de/v-desk/sober_y.shtml

Hier dürften Deine Grüße aus Rußland sein:
Fri Jan 27 23:54:45 2006 => File C:\WINDOWS\apiqo32.exe infected by Trojan-Downloader.Win32.Agent.td" Virus! Action Taken: No Action Taken.
hxxp://www.viruslist.com/ru/viruses/encyclopedia?virusid=92101

Wenn Du den Escan vor den ewido gemacht hast, lösche im Verzeichnis c:\bases_x die Datei mwav.log und wiederhole den escan. Aber wie gesagt, eine Neuinstallation ist auf jeden Fall sicherer:

Zitat:

Zitat von Dartus

Mein Rat:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

Hi,

danke erst mal für Eure mühe.

Ich muß Euch echt bewundern. Was Ihr da leistet ist echt super!!!!!!!

Ich habe ewido vor escan gemacht - ergo muß ich wohl alles neu aufsetzen.

Hierzu hab ich noch einige Fragen: Ich habe keine Sicherung. Kann ich Dateien
Kopieren und auf einem sauberen Rechner bereinigen um Sie dann wieder verwenden zu können.

Das ungepachte Betriebssystem ist eine Kopie. Ich werde mir bei der Gelegenheit eins kaufen und dann auch pachen.

Ich weiß nicht genau, wie man das macht und wozu es gut ist.
Vielleicht kannst Du mir da auch ein bischen auf die Sprünge helfen.

Ist es so, das alle Daten etc. beim neu aufsetzen dann weg sind???

Ich hoffe ich bekomme alles hin.

Viele Grüße

Stefan

Hallo,

Zitat:

Zitat von Stefan123

Hierzu hab ich noch einige Fragen: Ich habe keine Sicherung. Kann ich Dateien
Kopieren und auf einem sauberen Rechner bereinigen um Sie dann wieder verwenden zu können.

Das kannst Du, nachdem Dein System auf dem neusten Stand ist, einschließlich der Virenscanner!

Zitat:

Ich weiß nicht genau, wie man das macht und wozu es gut ist.
Vielleicht kannst Du mir da auch ein bischen auf die Sprünge helfen.

Was weißt Du nicht? meinst Du http://www.windowsupdate.com?

Zitat:

Ist es so, das alle Daten etc. beim neu aufsetzen dann weg sind???

Wenn Du sie nicht sicherst / gesichert hast

Gruß

Schrulli

Hi,

hab alle meine Daten gesichert und werde diese im Laufe der Woche mit meinem Notebook scannen.

Windows update ist nicht schwierig - aber ich weiß nicht, was pachen heißt und für was das gut ist.

Hier mal ein HJT vom Notebook, damit ich weiß das der sauber ist.
Bitte schaut mal drauf.

Logfile of HijackThis v1.99.1
Scan saved at 13:21:18, on 29.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\SXCPL.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\hp deskjet 450 printer\ToolBox\mpm.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Dokumente und Einstellungen\Notebook\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: myPrintMileage.lnk = C:\Programme\Hewlett-Packard\hp deskjet 450 printer\ToolBox\mpm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Dokumente und Einstellungen\Notebook\Desktop\iPod\bin\iPodService.exe (file missing)

und jetzt bitte nicht schimpfen, das SP1 drauf ist. Es ist mein Firmen - Schleppp TOP. Wird natürlich upgedatet.

Grüße

Stefan