Hallo,

ich habe folgendes Problem: Mein Rechner (XP) war ein wenig verseucht und zwar hatte einen Hijacker, der mir als Startseite stets about:blank reinschrieb.

ich habe mit allerlei programmen (adAware, Pest Patrol etc.) das Ding bekämpft und ich glaube, jetzt ist mein rechner wieder einigermassen ok.

Aber ich kann ihn nicht mehr runterfahren. es tut sich gar nix. Ich muss ihn stets mit dem Anmachknopf ausschalten.

Woran kann das noch liegen???

Gruß
Harti


Ach ja...und irgendwie hat's auch dem programm Notepad nicht gut getan.
Wenn ich ein Textfile öffnen will, kommt als Antwort stets, dass Notepad nicht gefunden wurde...obwohl es im Windows-verzeichnis ist.
Da ist einmal
notepad.exe
notpad.exe

??????????????

Hallo Harti,

bitte erstelle ein logfile laut dieser Anweisung: http://www.trojaner-board.de/51130-a...ijackthis.html und poste es hier.

Bis dann,
SD

So...hier ist mein Logfile:


Logfile of HijackThis v1.98.2
Scan saved at 09:32:51, on 21.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\rrhxuh.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
D:\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\Drive Image 7.0\Agent\PQV2iSvc.exe
D:\AdobePro\Acrobat 6.0\Distillr\acrotray.exe
D:\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
L:\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://bb-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie-search.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bundesligatipp.z999.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bb-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ie-search.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://bockwurst.fx.to/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: IEHelper - {04b16b48-2a3d-4462-bbfc-b692b12925bc} - C:\WINDOWS\System32\Q3955000.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\AdobePro\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3AD53CF2-C646-43B6-9806-E0FD7D1019EC} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\AI RoboForm\RoboForm.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\AdobePro\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\AdobePro\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\win32.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CloneCDTray] "d:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pquepq] C:\WINDOWS\System32\rrhxuh.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [TVgenial] D:\TVgenial\TVgenial.exe -d
O4 - Global Startup: Acrobat Assistant.lnk = D:\AdobePro\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://D:\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://D:\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://D:\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Web Search - c:\windows\ex.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Symbolleis&te - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.217.29.115/cax.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092977641687
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/stat...d/WDU_1251.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab
O18 - Filter: text/html - {59EF0115-0190-49BF-BBF9-F52A3851BFAE} - (no file)
O18 - Filter: text/plain - {59EF0115-0190-49BF-BBF9-F52A3851BFAE} - (no file)



Ich hoffe, da steckt irgendwo der Wurm drin...den man dann auch wieder entfernen kann.

Gruß
Harti

Hallo Harti,

bitte folgende Einträge mit HijackThis fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://bb-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie-search.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bundesligatipp.z999.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Harti\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bb-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ie-search.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://bockwurst.fx.to/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: IEHelper - {04b16b48-2a3d-4462-bbfc-b692b12925bc} - C:\WINDOWS\System32\Q3955000.dll

O2 - BHO: (no name) - {3AD53CF2-C646-43B6-9806-E0FD7D1019EC} - (no file)

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)

.... und dann sind da noch etliche Einträge, die mir sehr fremd vorkommen. Aber da trau ich mich (noch) nicht ran. Das überlasse ich meinen Kollegen Logfile-Auswertungs-Spezialisten und bitte Dich daher freundlich ab und an .. im Laufe des Tages .. bei uns im Forum reinzuschauen

Lieben Gruss
SD

Ergänzend zu den Ausführungen von Shadowdance:

C:\WINDOWS\System32\rrhxuh.exe
-> Das ist ein Trojaner. Zu prüfen hier:
http://www.kaspersky.com/de/scanforvirus

Was kommt als Ergebnis?

Zusätzlich zu den von Shadowdance genannten Einträgen bitte diese in HijackThis:

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\win32.dll
O4 - HKLM\..\Run: [pquepq] C:\WINDOWS\System32\rrhxuh.exe
O8 - Extra context menu item: Web Search - c:\windows\ex.htm
O16 - DPF: {00000000-0000-0000-0000-000020030000} - ht*p://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - ht*p://63.217.29.115/cax.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - ht*p://www.xxxtoolbar.com/ist/softw...0006_cracks.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - ht*p://searchfind.info/bar/win32.cab
O18 - Filter: text/html - {59EF0115-0190-49BF-BBF9-F52A3851BFAE} - (no file)
O18 - Filter: text/plain - {59EF0115-0190-49BF-BBF9-F52A3851BFAE} - (no file)


Wenn nicht selbst installiert, auch diesen Eintrag fixen:
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll

Leztlich dann noch eScan drüberlaufen lassen:
http://www.trojaner-board.de/42731-escan-anleitung.html

Du hast sowohl Trojaner als auch Spyware auf deinem System:

O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\win32.dll

Dazu:
http://www.trendmicro.com/vinfo/viru...SURF.A&VSect=T


O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O8 - Extra context menu item: Web Search - c:\windows\ex.htm

Diese Datei ist höchstwahrscheinlich ebenfalls zu einem Schädling gehörig:

C:\WINDOWS\System32\rrhxuh.exe

Überprüfe sie mal online:

http://www.kaspersky.com/de/scanforvirus

Oder du machst zunächst am besten mal dies:

http://www.trojaner-board.de/42731-escan-anleitung.html

dann fixed du mit HJT du die Einträge, die SD und ich aufgezählt haben, falls sie noch da sind und postest ein neues Logfile. Wann hast du das letzte Mal dein Windows upgedated?
Browserwechsel zu Opera oder Firefox wäre für die Zuzkunft ratsam oder zumindest das Einschränken der Ausführung von aktiven Inhalten (Active-X, Active Scripting), wenigstens alles au Eingabeeinforderung stellen oder noch besser im alternativen Browser deaktivieren.
Am Sichersten wäre allerdings sowieso eine Neuinstallation deines Systems. Hast du DSL? Da ist auch ein Dialer-Eintrag dabei, du solltest auch noch fixen:

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.217.29.115/cax.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...0006_cracks.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab
O18 - Filter: text/html - {59EF0115-0190-49BF-BBF9-F52A3851BFAE} - (no file)
O18 - Filter: text/plain - {59EF0115-0190-49BF-BBF9-F52A3851BFAE} - (no file


Edit: Wann kriege ich eigentlich endlich meinen Crossposting-Award??!!

So...erst einmal vielen Dank für Eure Super-Hilfe. Ich als Anfänger hätte das alleine gar nicht hinbekommen.

Habe jetzt meinem XP-System einige Updates spendiert (39 Stück)...hatte ich bisher sträflich vernachlässigt.

Habe danach AdAware und PestPatrol drüberlaufen lassen. Jetzt scheint alles ok zu sein. Hier noch einmal mein neues Log:


Logfile of HijackThis v1.98.2
Scan saved at 13:41:42, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
D:\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\Drive Image 7.0\Agent\PQV2iSvc.exe
D:\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
D:\TVgenial\TVgenial.exe
D:\AdobePro\Acrobat 6.0\Distillr\acrotray.exe
G:\!Sicherheits-Tools\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bundesligatipp.z999.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://bockwurst.fx.to/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\AdobePro\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\AI RoboForm\RoboForm.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\AdobePro\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\AdobePro\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CloneCDTray] "d:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [TVgenial] D:\TVgenial\TVgenial.exe -d
O4 - Global Startup: Acrobat Assistant.lnk = D:\AdobePro\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://D:\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://D:\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://D:\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Symbolleis&te - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092977641687


Ist das jetzt ok?

Die Programme, die jetzt noch aufgelistet sind, habe ich alle eigenhändig installiert. Müsste also ok sein.

Nur der Eintrag

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

sagt mir nicht viel. Sollte man den fixen?

Gruß und Dank
Harti

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

Der Eintrag müsste zum Promise-Controllers gehören, schau mal im Handbuch deines Boards nach, sollte da aufgeführt sein.