Hallo!

Habe seit ca. einer Woche extreme Probleme mit meinem Pc und der Internetverbindung!

Hier noch technische Details die vielleicht wichtig sein könnten:

Mein Anbieter ist Inode (xDSL) & der Anschluss besteht aus folgenden
Komponenten -> Modem: ZyXEL Prestige 660R / Router: Mediatrix ATA 2102 / Pc
ist mit dem Router über einen sogenannten Microlink dLAN Ethernetadapter
von Devolo verbunden (das Ganze läuft also über das Stromnetz)

Nun aber zu meinem Leidensweg: (chronologisch geordnet versteht sich )

Da ich mit dem Internet noch sehr unvertraut war (Anschluss erst seit ca. 3 Wochen), hab ich es gewagt die ersten 20 Minuten gänzlich ohne Firewall zu surfen und dieser Leichtsinn hat mir natürlich sofort einen Wurm beschert: W32/Opaserv die von ihm angelegte berühmte Datei NATAL.SCR hab ich dann sofort gelöscht (wenigstens kam ich auf die glänzende Idee dem Norton 2002 ein Liveupdate drüberzubügeln) - Den Registry eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\natal
= C:\<Windows>\NATAL.SCR" hab ich erst gestern via HiJackThis (Online) gelöscht

Hab mir dann sofort den Firewall "ZoneAlarm" runtergesaugt und wieder beruhigt drauf los gesurft...

Es folgen 2 Wochen frivoler und ungetrübter Internetspass

Vor ca. einer Woche hat sich dann zum ersten mal die Internetverbindung von selbst getrennt und ließ sich nicht mehr neu verbinden... nach ungefähr 2 Stunden rumprobieren hat es dann auf einmal wieder geklappt... und nach weiteren 2 Stunden war wieder alles im A....

1 oder 2 Tage darauf ließ sich das Internet dann fast überhaupt nicht mehr benützen: entweder die Verbindung trennte sich nach wenigen Minuten, ich könnte mich nicht mehr neu einwählen oder das Internet fror einfach ein (ungefähr eine Wartezeit von 10 Minuten bis sich die google-Seite aufgebaut hatte) usw. usw.

Anruf bei Inode: Die meinten, dass von ihrer Seite alles in Ordnung sei und das Problem wohl lokal zu suchen ist...

Bin auf die Idee gekommen, dass "ZoneAlarm" daran schuld sein könnte und es kurzerhand durch "Sygate Personal Firewall 5.5" ersetzt, hab auch Norton AntiVirus über Bord geworfen und mir das, meiner Meinung nach, viel symphatischere "AntiVir PersonalEdition Classic" auf die Platte gekleister und um besonders auf nummer sicher zu gehen mir schließlich auch noch "Ad-aware SE Personal 1.0.6" spendiert...

Noch am selben Tag an dem ich AntiVir installiert hatte, meldet dieses plötzlich zu später Abendstunde die Infektion mehrer exe-Dateien mit dem W32/Stanit.A - Zum Glück handelte es sich bei den (wenigen) infizierten Dateien, nur um Dateien von diversen Games... nach ca. einer Stunde googeln war ich etwas schlauer und hab mir das so genannte "Repairtool" von AntiVir heruntergeladen... Diese konnte eine Infektion der besagten Dateien feststellen und darüber hinaus noch die Infektion mehrer cpy-Dateien im Verzeichnis C:\_RESTORE\TEMP\
Diese Dateien konnten weder repariert noch gelöscht werden da dieses laut Programm "geloggt" sind und sich erst nach einem Neustart löschen ließen, was ich dann auch brav gemacht habe.

Um ganz auf die Sichere zu gehen, hab ich dann noch folgendes gemacht:
vollständiger Scan mit AntiVir: kein Fund! / Onlinescan mit "Trend Micro HouseCall": kein Fund!

Jetzt wird es mysteriös: (zum letzten mal hatte ich es so spannend als ich vor ca. 10 Jahren händisch den Bootvirus "stoned.angelina" von meinem 386er entfernen musste und dabei auf die folgende Zeile gestoßen bin: "Greetings from Garfield Zolag" - oder so ähnlich )
Kurz konnte AntiVir irgendeinen Trojaner und die Signatur eines ururur alten Dos Virus entdecken... Pc stürzte ab und schwupp nach dem Neustart konnte nichts mehr gefunden werden...

So, schließlich sind wir beim heutigen Datum angelangt: Mein Pc weißt folgende Symptome bzw. Abnormalitäten auf:

-> Es kann vorkommen, dass beim Öffnen irgend eines Ordners (noch vor dem Anzeigen des Inhalts) sich der Pc aufhängt

-> Sygate meldet des öfteren, dass die Datei RNAAPP.EXE im Verzeichnis C:\Windows\System\ versucht eine Verbindung mit dem Internet herzustellen (keine Ahnung woher die Datei kommt und was sie will, ist mir jedenfalls neu) - Zugriff verweigere ich

-> Sygate spuckt sehr oft folgende Meldung aus "Unaufgeforderte, eingehende ARP-Antwort wurde entdeckt, dies ist eine Art von MAC-Spoofing, die möglicherweise Ihrem Computer Schaden zufügt." (Ein Kollege meinte, dass dies bei ihm auch öfters vorkommt - aber so oft?)

-> Die mit W32/Stanit.A infizierten cpy-Dateien sind wieder aufgetaucht und lassen sich wiedermal nicht entfernen.

-> Das schließen von Fenstern kann außergewöhnlich lange dauern und kurz bevor es geschlossen wird, blinkt die leere Seite "about:blank" auf...

-> Internetverbindung trennt sich nach wie vor von slebst (nur nicht mehr so oft)



Soooo, danke erstmal fürs Durchlesen



Hier noch mein HijackThis Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 22:50:50, on 28.03.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\***\SOFTWARE\SYGATE PERSONAL FIREWALL 5.5\SMC.EXE
C:\***\SOFTWARE\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\***\SOFTWARE\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\***\SOFTWARE\MEDIASOURCE\DETECTOR\CTDETECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\***\SOFTWARE\ESM2\STMS.EXE
C:\***\SOFTWARE\ESM2\EBRR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\***\SOFTWARE\MOZILLA FIREFOX\FIREFOX.EXE
C:\***\SOFTWARE\WINRAR 2.90\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.414\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\***\SOFTWARE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {A3B937E1-92F8-60A4-D3AC-8FE60E9743A3} - C:\WINDOWS\ANWENDUNGSDATEN\16 ACID HOPE\SECOND PING.EXE
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\***\SOFTWARE\SIDEWI~1\COMMON\SWTRAYV4.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [rectslowcdromkeep] C:\WINDOWS\All Users\Anwendungsdaten\AceAntiRectSlow\Slow delete.exe
O4 - HKLM\..\Run: [SmcService] C:\***\SOFTWARE\SYGATE~1.5\SMC.EXE -startgui
O4 - HKLM\..\Run: [avgctrl] "C:\***\Software\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SmcService] C:\***\SOFTWARE\SYGATE PERSONAL FIREWALL 5.5\SMC.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\***\Software\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Creative Detector] C:\***\Software\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [vcante] C:\WINDOWS\ANWEND~1\GRIDHOLE\SixthBallDefy.exe
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\***\Software\ESM2\Stms.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\***\SOFTWARE\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\***\Software\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\***\Software\ICQ5\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll


Hoffe ihr könnt mir weiterhelfen! Bis denn...

mfg Soze

Hallo,

fixe folgende Dateien online bei Jotti und virustotal, beide in meiner Signaut verlinkt. Poste das Ergbnis hier.

C:\WINDOWS\ANWENDUNGSDATEN\16 ACID HOPE\SECOND PING.EXE
C:\WINDOWS\All Users\Anwendungsdaten\AceAntiRectSlow\Slow delete.exe
C:\WINDOWS\ANWEND~1\GRIDHOLE\SixthBallDefy.exe

Generell ist zu sagen, das

Zitat:

W32/Tenga-A versucht außerdem, sich mit einem vorspezifizierten Server zu verbinden und einer Remote-Befehlseingabe zu erhalten, die weitere Befehle von einem remoten Eindringling erhalten kann.

Das könnte auf Dein Verhalten zutreffen.

Gruß

Schrulli

Erm .. Sagt dir Windows-Update etwas? Oder gibt es den IE6 nicht für Win9x Systeme (ich denke da kann man ME einreihen)?

Was bleibt zu sagen .. da du anscheinend einen starken Virenbefall unterlegen warst, weißt du nicht wo sich was eingenistet haben könnte.

Mein Tip an dich (Auch wenn der Senf langsam an Würze verliert):

Besorg dir WindowsXP, installiere noch bevor du am Net hängst das SP2 und führe anschließend sofort das Windows-Update durch

@ Schrulli

Danke erstmal für den guten Tipp... werde deiner Anregung morgen nachkommen und die Ergebnisse hier posten (hab da übrigens schon einen heißen Verdacht: Troj/Swizzor-G)

@ Markus1234

Mein Plan vor 3 Wochen war es:

"Ich besorge mir WindowsXP, installiere noch bevor ich am Net hänge das SP2 und führe anschließend sofort das Windows-Update durch..."

Nur dachte ich mir, dass ich mir vorher noch zwei größere Festplatten kaufe, da bei mir der Platz schon langsam knapp wird... & sooooo schlimm wird das mit den Viren bis dahin schon nicht sein

Tja, weit gefehlt (und das mit dem IE6 hab' ich dann auch irgendwie verabsäumt), naja, die Festplatten werde ich mir frühestens in 2 - 3 Wochen zulegen und bis dahin übe ich mich dann mal als Virendetektiv so ganz nach dem Motto "LEARNING BY DOING"

...möchte ihn schließlich doch noch bezwingen

-Grüße Soze-

second ping.exe (scan mit jotti):

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Swizzor gefunden
F-Prot Antivirus W32/Swizzor.DE@dl gefunden
Fortinet PossibleThreat!03395 gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Swizzor.gen gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Swizzor.bo gefunden

second ping.exe (scan mit virus total):

AntiVir no virus found
Avast no virus found
AVG no virus found
Avira no virus found
BitDefender no virus found
CAT-QuickHeal no virus found
ClamAV devel no virus found
DrWeb Trojan.Swizzor
eTrust-InoculateIT no virus found
eTrust-Vet no virus found
Ewido no virus found
Fortinet PossibleThreat!03395
F-Prot security risk named W32/Swizzor.DE@dl
Ikarus no virus found
Kaspersky no virus found
McAfee no virus found
NOD32v2 no virus found
Norman Swizzor.gen
Panda Adware/Lop
Sophos no virus found
Symantec no virus found
TheHacker no virus found
UNA no virus found
VBA32 Trojan-Downloader.Win32.Swizzor.bo

SixthBallDefy.exe (scan mit jotti):

AntiVir Heuristic/Crypted gefunden (mögliche Variante)
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Swizzor gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/TrojanDownloader.Swizzor gefunden
Norman Virus Control Swizzor.HD gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.Swizzor gefunden

SixthBallDefy.exe (scan mit virus total):

AntiVir Heuristic/Crypted
Avast no virus found
AVG no virus found
Avira no virus found
BitDefender no virus found
CAT-QuickHeal (Suspicious) - DNAScan
ClamAV devel no virus found
DrWeb Trojan.Swizzor
eTrust-InoculateIT no virus found
eTrust-Vet no virus found
Ewido no virus found
Fortinet suspicious
F-Prot no virus found
Ikarus AdWare.Lop.AG
Kaspersky no virus found
McAfee no virus found
NOD32 a variant of Win32/TrojanDownloader.Swizzor
Norman Swizzor.HD
Panda Adware/Lop
Sophos no virus found
Symantec no virus found
TheHacker no virus found
UNA no virus found
VBA32 Trojan.Swizzor

tja, meine Vermutung war wohl richtig...

wie soll ich jetzt am besten vorgehen?? (möchte den Pc ja doch noch in nächster Zeit halbwegs vernünftig nutzen können)

...danke schon im Vorraus

-Soze-

ach ja: Die Datei "C:\WINDOWS\All Users\Anwendungsdaten\AceAntiRectSlow\Slow delete.exe" ist irgendwie nicht mehr da wo sie mal war... scheinbar verschwunden??

Haben kompromitierte Systeme so an sich .. Dateien verschwinden .. tauchen woanders wieder auf ...

Wenn du das lustig findest und mit der Tatsache umgehen kannst, dass viele viele dritte nun Zuggriff auf deinen PC haben, dann Glückwunsch, du wirst viel Spaß mit deiner Kiste haben

Und sonst musst du dich aufrappeln, Alle Daten Sichern, Formatieren, Xp Installieren, sp2 draufhaun', updates durchführen, alles neu installieren und konfigurieren, was alles zusammen etwa 2-3 Stunden dauert aber eigentlich auch ein bisschen Spaß macht da man mal wieder ausmisten kann

Und vorallem weiß man, sofern man alles richtig gemacht hat, dass man SICHER und VIRENFREI unterwegs ist

Die Sygate Personal Firewall war schonmal eine gute entscheidung, da sie dir die Scriptkiddies und Wannabe-Hacker vom Leib hält (etwa 98% aller "haxx0r"). Antivir ist ok, ich hatte allerdings viele Probleme damit. Alternativ kannst du dir mal Avast Antivirus ansehn, welches es für den Privaten Gebraucht ein Jahr lang kostenlos gibt (eigene 1-Jahres Lizenz kostenlos *Home Edition*).

Viel Spaß beim neuen Lebensabschnitt deines Computers

Hallo,

bei einer Lop-Infektion ist IMHO eine Neuinstallation nicht zwingend erforderlich.

dartus

@ Markus1234

Du hast recht, ich freu mich wirklich schon aufs ausmisten... aber wie gesagt kann das noch ein bisschen dauern...

@ dartus

Wie werde ich diese lop-infektion am besten los? Hab noch kein passendes Tool gefunden....

grüße

Hallo,

fixe mittels HJT im abgesicherten Modus folgendes:

O2 - BHO: (no name) - {A3B937E1-92F8-60A4-D3AC-8FE60E9743A3} - C:\WINDOWS\ANWENDUNGSDATEN\16 ACID HOPE\SECOND PING.EXE
O4 - HKLM\..\Run: [rectslowcdromkeep] C:\WINDOWS\All Users\Anwendungsdaten\AceAntiRectSlow\Slow delete.exe
O4 - HKCU\..\Run: [vcante] C:\WINDOWS\ANWEND~1\GRIDHOLE\SixthBallDefy.exe

lösche dann durch Killbox dies:

C:\WINDOWS\ANWENDUNGSDATEN\16 ACID HOPE
C:\WINDOWS\All Users\Anwendungsdaten\AceAntiRectSlow
C:\WINDOWS\ANWEND~1\GRIDHOLE\

Kann es sein, das bei Deinem HJT Log ein Teil fehlt, die Einträge gehen nur bis 012-?

Scanne dannach Deinen Rechner mit eScan, Anleitung in meiner Signatur verlinkt. Post den INhalt der escan_neu.txt

Gruß

Schrulli

Danke Schrulli für deine überaus kompetente Hilfe!

Habe alles nach deiner Anleitung gemacht & es hat bestens geklappt

Scan mit eScan: kein Virus gefunden (Bericht posten ist wohl überflüssig... )
Scan mit AntiVir: kein Virus gefunden
Scan mit avast!: kein Virus gefunden

Scheint als wär' ich das Drecksding jetzt endlich los


Die einzige Frage die sich mir noch stellt:

Mein HJT Log scheint komplett zu sein, keine Ahnung warum da ein Teil fehlt -> vom Virus gelöscht??



Jedenfalls hab ich jetzt bereits seit 3 Tagen keine Probleme mehr... :aplaus:


gruß Soze

Hallo,

erstelle zur Sicherheit ein neues Log und poste es hier.

Gruß

Schrulli

Schon erledigt:

Logfile of HijackThis v1.99.1
Scan saved at 23:04:54, on 05.04.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\***\SOFTWARE\SYGATE PERSONAL FIREWALL 5.5\SMC.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\***\SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\***\SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\***\SOFTWARE\AVAST4\ASHMAISV.EXE
C:\***\SOFTWARE\MEDIASOURCE\DETECTOR\CTDETECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\***\SOFTWARE\ESM2\STMS.EXE
C:\***\SOFTWARE\ESM2\EBRR.EXE
C:\WINDOWS\SYSTEM\LOADWC.EXE
C:\***\SOFTWARE\ICQ5\ICQLITE.EXE
C:\***\SOFTWARE\TOOLS\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ***://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\***\SOFTWARE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\***\SOFTWARE\SIDEWI~1\COMMON\SWTRAYV4.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SmcService] C:\***\SOFTWARE\SYGATE~1.5\SMC.EXE -startgui
O4 - HKLM\..\Run: [avast! Web Scanner] C:\***\SOFTWARE\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\***\SOFTWARE\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [SmcService] C:\***\SOFTWARE\SYGATE PERSONAL FIREWALL 5.5\SMC.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [avast!] C:\***\Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Creative Detector] C:\***\Software\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\***\SOFTWARE\ICQ5\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\***\Software\ESM2\Stms.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\**\SOFTWARE\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\***\SOFTWARE\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\***\Software\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\***\Software\ICQ5\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

Hallo,

sieht imho sauber aus.

Gruß

Schrulli