Ahoi!

Seit heute kann ich nur noch 1-2 Minuten ins Internet einloggen, danach wird alles total langsam, bis schließlich gar nichts mehr geht. Auch erneutes Einwählen bringt keinen Unterschied. Im Gegenteil, nach einigen Versuchen kann ich mich nicht mal mehr trennen, das zugehörige Fenster erscheint und verschwindet innerhalb eines Sekundenbruchteils. Diese dauernden Verbindungsabbrüche, sind in letzter Konsequenz nur durch Neustart zu lösen.

Mein Rechner benutzt Windows XP, ich browse mit Mozilla. Noch Fragen hierzu?

Jedenfalls habe ich meine AntiVir Reports durchgesehen, und in der Quarantäne folgende Trojaner und Exploits gefunden:

Zitat:

TR/Drop.Delf.FD.1
tmg-NAV2k5.exe

TR/Dldr.IstBar.BB
Norton Antivirus 2005 Incl Keygen-TMG.exe

EXP/MS06-001.wmf
browsercheck.wmf

Google brachte mich dann zu diesem Forum, das mir sehr gut gefällt, ihr habt alle meinen Respekt!

Nachdem ich hier einiges gelesen hatte, beschloss ich mir HijackThis und eScan runterzuladen

Aber ich muss immer noch auf eScan warten. Das sind knapp 36 MB. Ich hab es erst einmal geschafft, die Datei komplett zu laden, bevor die Verbindung zusammenbricht. Als ich sie dann (natürlich im abgesicherten und offline Modus) starten wollte, erhielt ich nur eine Fehlermeldung:

Zitat:

Zitat von eScan

The setup files are corrupted. Please obtain a new copy of the program.

Grrrr... Gut. Ich werde mir Knoppix von nem Kollegen holen. Vielleicht geht es damit ja.

Jedenfalls HijackThis war kein Problem und liefert folgendes Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:54:56, on 16.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\NewSoft\Presto! PVR\Monitor.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\runservice.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\iPod\bin\iPodService.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\WINDOWS\System32\svchost.exe
D:\Dokumente und Einstellungen\M\Desktop\FUCK YOU TROJAN\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] D:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] D:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [hplampc] D:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [ChangeFilterMerit] D:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] D:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Arcor DSL.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{66FF3532-0D35-4415-B073-3C77179B36E6}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - D:\WINDOWS\runservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe (file missing)
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe (file missing)

Wenn euch da schon etwas auffällt, nur immer her damit, ich bin für jeden Tipp dankbar!

Sonnige Grüße,
Kebap

moin,

lade mal die beiden dateien bei jotti hoch: http://virusscan.jotti.org/de/

D:\WINDOWS\system32\sw20.exe
D:\WINDOWS\system32\sw24.exe

Hast du was an deinem Recher verändert bevor das angefangen hat?
LG
haengdichweg

Hey,

danke für die fixe Antwort. Nein, ich habe nichts verändert, bzw mach ich quasi dauernd. Aber gestern ging noch alles und seit heute Mittag macht der solchen Stress. Komischerweise kann ich jetzt gerade ganz gut surfen ohne dauernd getrennt zu werden. Wer weiß, vielleicht schaut mir grad jemand über die Schulter...

Na jedenfalls hab ich die beiden Dateien da hochgeladen und überprüfen lassen und laut der Seite sind sie OK. Hab trotzdem keine Ahnung, wozu sie gut sind und hab sie noch nie gesehen (wie so vieles in meinem Windows Ordner, ehm, naja)

Jetzt versuche ich noch mal eScan zu laden.

So long,
Kebap

mOIn auch

kann es sein, dass du eine Grafikkarte/Videokarte von MSI besitzt ?
dann könnten die Einträge daher stammen.

MFG

Yo,
das mit der Grafikkarte stimmt.

Hier nun die Ergebnisse der 3 gestrigen eScan Durchläufe:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 16 18:57:30 2006 => Object "cmesys Spyware/Adware" found in File System! Action Taken: Entries Removed.
Sat Sep 16 18:57:30 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: Entries Removed.
Sat Sep 16 18:57:31 2006 => Object "dope wars Spyware/Adware" found in File System! Action Taken: Entries Removed.
Sat Sep 16 19:31:29 2006 => Object "dope wars Spyware/Adware" found in File System! Action Taken: Entries Removed.
Sat Sep 16 19:31:29 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sat Sep 16 19:51:21 2006 => File D:\Dokumente und Einstellungen\M\Anwendungsdaten\Thunderbird\Profiles\z7a2f4b1.default\Mail\Local Folders\eldoradio infected by "Trojan-Spy.HTML.Bankfraud.ot" Virus! Action Taken: No Action Taken.
Sat Sep 16 19:51:22 2006 => File D:\Dokumente und Einstellungen\M\Anwendungsdaten\Thunderbird\Profiles\z7a2f4b1.default\Mail\Local Folders\Inbox infected by "Trojan-Spy.HTML.Bankfraud.ot" Virus! Action Taken: No Action Taken.
Sat Sep 16 20:34:58 2006 => File D:\Programme\The Bat!\MAIL\madqueen\Trash\MESSAGES.TBB infected by "Trojan-Spy.HTML.Bankfraud.ib" Virus! Action Taken: File Deleted.
Sat Sep 16 23:05:34 2006 => File D:\Dokumente und Einstellungen\M\Anwendungsdaten\Thunderbird\Profiles\z7a2f4b1.default\Mail\Local Folders\eldoradio infected by "Trojan-Spy.HTML.Bankfraud.ot" Virus! Action Taken: No Action Taken.
Sat Sep 16 23:05:35 2006 => File D:\Dokumente und Einstellungen\M\Anwendungsdaten\Thunderbird\Profiles\z7a2f4b1.default\Mail\Local Folders\Inbox infected by "Trojan-Spy.HTML.Bankfraud.ot" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Sep 16 18:57:18 2006 => File D:\WINDOWS\smhost.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 18:58:24 2006 => File D:\WINDOWS\smhost.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 18:58:26 2006 => File D:\WINDOWS\smhost.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 19:31:08 2006 => File D:\WINDOWS\smhost.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 19:31:51 2006 => File D:\WINDOWS\smhost.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 19:33:49 2006 => File C:\Install\internetzeug\mIRC 6.16.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sat Sep 16 19:56:10 2006 => File D:\Dokumente und Einstellungen\M\Lokale Einstellungen\Temp\xxx.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 20:21:12 2006 => File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sat Sep 16 20:50:23 2006 => File D:\WINDOWS\smhost.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 23:03:08 2006 => File D:\WINDOWS\smhost.exe tagged as not-a-virus:RemoteAdmin.Win32.Poison Ivy.20. No Action Taken.
Sat Sep 16 23:35:30 2006 => File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Sep 16 18:57:30 2006 => Offending Folder found: D:\Programme\Gemeinsame Dateien\cmeii
Sat Sep 16 18:57:30 2006 => Offending Folder found: D:\Programme\Gemeinsame Dateien\gmt
Sat Sep 16 18:57:31 2006 => Offending Folder found: D:\Dokumente und Einstellungen\M\Startmenü\programme\spiele\dope wars 2.2
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sat Sep 16 19:31:29 2006 => Offending Key found: HKCU\appevents\schemes\apps\dopewars !!!
Sat Sep 16 19:31:29 2006 => Offending Key found: HKCU\Software\ist !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 16 18:59:29 2006 => Total Errors: 36
Sat Sep 16 22:00:30 2006 => Total Errors: 63
Sun Sep 17 00:14:55 2006 => Total Errors: 2
Sat Sep 16 18:59:29 2006 => Time Elapsed: 00:02:27
Sat Sep 16 22:00:30 2006 => Time Elapsed: 02:29:23
Sun Sep 17 00:14:55 2006 => Time Elapsed: 01:11:39
Sat Sep 16 18:59:29 2006 => Total Objects Scanned: 19105
Sat Sep 16 22:00:29 2006 => Total Objects Scanned: 127827
Sun Sep 17 00:14:55 2006 => Total Objects Scanned: 64246
Sat Sep 16 18:59:29 2006 => Virus Database Date: 7/31/2006
Sat Sep 16 19:25:47 2006 => Virus Database Date: 7/31/2006
Sat Sep 16 19:29:28 2006 => Virus Database Date: 7/31/2006
Sat Sep 16 22:00:30 2006 => Virus Database Date: 7/31/2006
Sat Sep 16 22:04:45 2006 => Virus Database Date: 7/31/2006
Sat Sep 16 23:02:25 2006 => Virus Database Date: 7/31/2006
Sun Sep 17 00:14:55 2006 => Virus Database Date: 7/31/2006
Sun Sep 17 00:30:32 2006 => Virus Database Date: 7/31/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
D:\Programme\eScan\LOG\MWAV.LOG
--------------------------------------------------

Was soll ich als nächstes machen?

Das Problem besteht auch weiterhin. Ich werde nach 2-3 Minuten vom Internet getrennt, aber das Verbindungssymbol ist noch in der Taskleiste, nur wenn ich es anklicken oder trennen will, dann tut es so als wäre es nicht da...

Gestern habe ich bestimmt 40 mal den Rechner neu gestartet, weil ich unbedingt mit Windows online wollte. Für den Rest habe ich zum Glück Knoppix. Vielleicht sollte ich mir sowieso mal Linux draufspielen, aber kenne mich damit noch zu wenig aus, vor allem hilft mir das nicht kurzfristig.

Also bitte, sagt mir, was zu tun ist!
Danke!

Okay,
sorry für den Trippelpost, aber ich hab die Edit-Funktion noch nicht gefunden. Und keine Zeit, wie ihr schon richtig vermutet.

Nachdem ich jetzt hier mehrere FAQs durchforstet habe, werde ich wohl im Laufe der Woche mein System neu aufsetzen. Es stimmt, ich habe sonst keine Sicherheit.


edit: Eventuell könnte mich auch jemand in das Plagegeister-Forum verschieben...

Hallo Kebab,

Neuaufsetzen ist auch dringend anzuraten...
Google mal nach dem Zeug hier aus deinem EScan-Log..

Zitat:

Trojan-Spy.HTML.Bankfraud.ot

Zitat:

RemoteAdmin.Win32.Poison Ivy.20.

Der "Remote Admin" ist dein Besuch,der neue Cheffe auf deiner Kiste, und vermutlich u.a. schuldig an deinen Problemen....
Mach hinne mit dem Neuaufsetzen,es ist allerhöchste Zeit bevor du in noch Übleres verwickelt wirst...
Irrlicht

Hey irrlicht, alle!

Ich hab danach gegooglet, aber nichts weiter entdecken können.
Hast du vielleicht direkte Links?
Würd mich schon interessieren, was da Übles bevorstehen könnte...

Das System hab ich jedenfalls neu aufgesetzt. Funktioniert auch wunderbar. Jetzt gehts daran, die ganzen Programme draufzuspielen und mittelfristig Linux daneben zu setzen.

LG
Kebap

Hallo Kebap,
wohlmöglich haben wir ja unterschiedliche Versionen von Google...
Bei mir kommt das zur Erklärung :
http://www.google.de/search?hl=de&q=...le-Suche&meta=
und hier,noch ne Version...
http://www.google.de/search?hl=de&q=...le-Suche&meta=
Irrlicht

Danke,

davon sah ich bei meinen kläglichen Suchversuchen tatsächlich nix...

Egal, jedenfalls ist der Kollege trotz Neuinstallation des Systems wieder da und kappt meine Netzverbindung. Hehehe. Mist. Dann eben nochmal!

Aber wie kann das sein?

Ich besitze eine Festplatte, die in mehrere Partitionen unterteilt ist. Eine davon beheimatet meine Windoof-Installation. Diese habe ich komplett formatiert. Dann neu von CD installiert. Wie kann der Trojaner überleben?

Ich vermute entweder Bootsektor oder er hat sich in andere Dateien auf den anderen Partitionen eingebaut. Im letzten Fall müsste er aber bei nem Virenscanner auffliegen, oder nicht? Hab ich zwar nicht durchgeführt, weil es mir nutzlos schien. Im ersten Fall bin ich etwas überfragt. Wie desinfiziere ich meinen Bootsektor?

@mods:
Ich will nochmal darum bitten, diesen Beitrag aus dem HiJack Forum in das allgemeine Plagegeister Forum zu verschieben. Erstens geht es mittlerweile um mehr und zweitens erhalte ich dort vielleicht mehr Antworten. Nicht dass mir die bisherigen misfallen, aber etwas mehr Beteiligung wär trotzdem super...

So,

die dauernden Verbindungsabbrüche sind mittlerweile weg. Allerdings ist meine Verbindung langsamer geworden. Ich sehe im Statusfenster ziemlich viele eingehende und ausgehende Bytes, obwohl ich keinen Traffic verursache. Kann mir jemand ein gutes Programm für Windows empfehlen, mit dem ich mir anzeigen lassen kann, welche Anwendungen gerade wieviel Traffic verursachen?

Und damit ich mal wieder Antworten bekomme, hier noch ein aktueller HiJack-Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:49:05, on 24.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Winamp\winampa.exe
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\TRAYICOS.EXE
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\AVPMWrap.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\MAILDISP.EXE
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\ESCAN\SPOOLER.EXE
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\MAILSCAN.EXE
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\kavss.exe
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\AvpM.exe
D:\Programme\Winamp\winamp.exe
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\TRAYSSER.EXE
D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\avpm.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\M\Desktop\utorrent16.exe
G:\Eigene Dateien\FUCK YOU TROJAN\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Dokumente und Einstellungen\M\Eigene Dateien\FUCK YOU TROJAN\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - Startup: Internetdienstanbieter.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\mwtsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B507C7B-514E-4193-B591-FA1B7DCFF267}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B507C7B-514E-4193-B591-FA1B7DCFF267}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\DOKUME~1\M\EIGENE~1\FUCKYO~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE