|
Log-Analyse und Auswertung: Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.04.2009, 09:09 | #1 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Hallo zusammen. Ich hatte den Trojaner-PSW.Win32.Agent.mrh bei mir drauf und wollte wissen ob mein Rechner nun wieder sauber ist. Gruß Truckbull P.S. Vielleicht könnt ihr mir ja auch sagen welche Programme bzw. Dateien unsinnig sind. Hijackthis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:04:23, on 21.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\ASUS\AI Gear\GearHelp.exe C:\Program Files\ASUS\AI Nap\AiNap.exe C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Common Files\aol\1203626123\ee\aolsoftware.exe C:\Program Files\WebcamMax\wcmmon.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Common Files\Logishrd\LComMgr\Communications_Helper.exe C:\Program Files\Logitech\QuickCam\Quickcam.exe C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe C:\Program Files\pdfforge Toolbar\SearchSettings.exe C:\Program Files\FreePDF_XP\fpassist.exe C:\Program Files\SweetIM\Messenger\SweetIM.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Logitech\Gaming Software\LWEMon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe C:\Users\Trucki\AppData\Local\Google\Update\GoogleUpdate.exe C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe C:\Users\Trucki\AppData\Local\ukume.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\ComCenter\IWatch.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe C:\Program Files\Common Files\Marmiko Shared\MWLaMaS.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe C:\Windows\System32\mobsync.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN\Toolbar\3.0.1203.0\msneshellx.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll O3 - Toolbar: (no name) - {F60E370A-71ED-4918-9F6C-A1ADA0FC5C30} - (no file) O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files\MSN\Toolbar\3.0.1203.0\msneshellx.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [Ai Gear Help] "C:\Program Files\ASUS\AI Gear\GearHelp.exe" O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\AI Nap\AiNap.exe" O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Program Files\ASUS\AI Booster\OverClk.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1203626123\ee\AOLSoftware.exe O4 - HKLM\..\Run: [WebcamMaxMoniter] "C:\Program Files\WebcamMax\wcmmon.exe" /a O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BlackBerryAutoUpdate] C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe /background O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [Google Update] "C:\Users\Trucki\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ukume] "c:\users\trucki\appdata\local\ukume.exe" ukume O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: ISDNWatch.lnk = C:\Program Files\ComCenter\IWatch.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - F:\Poker\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll O13 - Gopher Prefix: O15 - Trusted Zone: http://server1.webkicks.de O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/VistaMSNPUpldde-de.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{629CDC7E-76D6-44B0-9130-FE27534FC435}: NameServer = 192.168.121.252,192.168.121.253 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Program Files\Common Files\AVM\de_serv.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Mainboard\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe O23 - Service: Google Update Service (gupdate1c991203c7c6c2f) (gupdate1c991203c7c6c2f) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: MySQL - Unknown owner - E:\Program.exe (file missing) O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - E:\Mainboard\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe -- End of file - 17048 bytes |
21.04.2009, 10:12 | #2 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Hallo Truckbull und
__________________Grüsse in die Nachbarschaft...... Ich habe keine Ahnung wie du den Virus beseitigt haben willst, da normalerweise bei diesem Befall ernsthaft über ein Neuaufsetzen deines Systems nachgedacht werden sollte. Da ich die Bereinigung nun in allen Einzelheiten nicht mehr nachvollziehen kann, sollten wir wie unten beschrieben vorgehen. Bisher sehe ich in deinem PC noch mehrere Probleme. Als erstes sei zunächst das fehlende SP 3 deines Windows XP zu bemängeln. Du solltest folgende Schritte zunächst unternehmen: Code:
ATTFilter Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!! Download von Malwarebytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung LESEN !!! Download von Gmer Download von MBR.exe Download von LSPFix Danach: Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall wahrscheinlich unbrauchbar.. Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Gehts immer noch nicht, gehe zu Punkt 6. Punkt 6. Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um Punkt 7: Bitte lade folgende Files bei Virustotal.com hoch und lasse sie analysieren. Auch wenn dort schon beschrieben wurde, dass dieses file bereits analysiert wurde. Poste das Ergebnis hier inklusive der Hashes und Prüfsummen. Code:
ATTFilter c:\users\trucki\appdata\local\ukume.exe
__________________ Geändert von Redwulf (21.04.2009 um 10:37 Uhr) |
21.04.2009, 11:38 | #3 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Ich habe nicht Windows Xp auf dem Rechner sondern Vista Business 32bit.
__________________zu 1. War schon asgeschaltet (warum auch immer) zu 2. erledigt zu 3. erledigt und alles gelöscht (in der Regestry war kein Fehler vorhanden) zu 4. es öffnet sich ein kleines DOS-Fenster und schließt sich sofort wieder. Es werden keine Log-Files erstellt. zu 5. läuft noch zu 6. Nachem ich Kaspersky ausgetrickst habe läuft es gerade durch. Kaspersky erkennt es direkt als Trojaner (Trojan.Win32.Agent.ccfc). zu 7. Hier der Logfile: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.21 - AhnLab-V3 5.0.0.2 2009.04.21 - AntiVir 7.9.0.148 2009.04.21 TR/Dropper.Gen Antiy-AVL 2.0.3.1 2009.04.21 - Authentium 5.1.2.4 2009.04.20 - Avast 4.8.1335.0 2009.04.20 - AVG 8.5.0.287 2009.04.20 - BitDefender 7.2 2009.04.21 - CAT-QuickHeal 10.00 2009.04.21 - ClamAV 0.94.1 2009.04.21 - Comodo 1124 2009.04.21 - DrWeb 4.44.0.09170 2009.04.21 - eSafe 7.0.17.0 2009.04.20 - eTrust-Vet 31.6.6440 2009.04.20 - F-Prot 4.4.4.56 2009.04.20 - F-Secure 8.0.14470.0 2009.04.21 - Fortinet 3.117.0.0 2009.04.21 - GData 19 2009.04.21 - Ikarus T3.1.1.49.0 2009.04.21 - K7AntiVirus 7.10.709 2009.04.20 - Kaspersky 7.0.0.125 2009.04.21 - McAfee 5590 2009.04.20 - McAfee+Artemis 5590 2009.04.20 - McAfee-GW-Edition 6.7.6 2009.04.21 Trojan.Dropper.Gen Microsoft 1.4602 2009.04.21 - NOD32 4024 2009.04.21 - Norman 6.00.06 2009.04.20 - nProtect 2009.1.8.0 2009.04.21 - Panda 10.0.0.14 2009.04.20 - PCTools 4.4.2.0 2009.04.21 - Prevx1 V2 2009.04.21 High Risk Fraudulent Security Program Rising 21.26.12.00 2009.04.21 - Sophos 4.40.0 2009.04.21 - Sunbelt 3.2.1858.2 2009.04.21 - Symantec 1.4.4.12 2009.04.21 - TheHacker 6.3.4.0.312 2009.04.21 - TrendMicro 8.700.0.1004 2009.04.21 - VBA32 3.12.10.2 2009.04.21 - ViRobot 2009.4.21.1702 2009.04.21 - VirusBuster 4.6.5.0 2009.04.20 - weitere Informationen File size: 290816 bytes MD5...: 97303f8c5f36f78fdd43514a06073bb2 SHA1..: 2bfe32ea0056697a365b8c7b36b50f25b34ed2a9 SHA256: 2fbad8773f45b246400c6ae1987d4210695ae190e3f666517f2f7590729e02fa SHA512: dc94c9de3f8761066bcaabaa0cf465a663c36c5d7ab5458261e04f5f72222ce8 f3991310e0d20d3f3c0a9b1c3a05bbbf77603452dd6a8988c9ef0b56f319f4c9 ssdeep: 6144:GBAcRn13EHUcGFelMkpf23I7adLwqQfOkih0mJ474:+XDEH1GF+Jpf247hq QmkqH PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (53.1%) Windows Screen Saver (18.4%) Win32 Executable Generic (12.0%) Win32 Dynamic Link Library (generic) (10.6%) Generic Win/DOS Executable (2.8%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x367e6 timedatestamp.....: 0x40247e69 (Sat Feb 07 05:58:01 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3596c 0x36000 7.41 99acc3fc008252049300cc1dd46bb669 .rdata 0x37000 0xb292 0xc000 5.49 1bb54060c0e8e5a0be73519a08808b27 .data 0x43000 0x2410 0x3000 4.68 6bf63c7780e7a2f3bff3b67094ce4f82 .rsrc 0x46000 0x1c0 0x1000 0.46 526a4e3cc479b0358ed1a01b77695817 ( 5 imports ) > comdlg32.dll: GetSaveFileNameW, GetOpenFileNameA, GetFileTitleA > ADVAPI32.dll: LookupPrivilegeValueA, RegOpenKeyExA, GetAclInformation, RegSetValueExW, SetServiceStatus, GetAce, AllocateAndInitializeSid > KERNEL32.dll: CopyFileA, GetModuleHandleA, GetStartupInfoA, GetFileAttributesExW, VirtualAlloc, SetWaitableTimer, GetLocaleInfoW, SetFileTime, CreateEventW, CreateFileA, GlobalHandle, SetThreadExecutionState, DeleteTimerQueueTimer, QueryPerformanceCounter, GetTimeFormatW, HeapSize, GetSystemTimeAsFileTime, DeviceIoControl, MoveFileA, GetStringTypeExA, LocalLock, MultiByteToWideChar, InterlockedDecrement, SetEndOfFile, GetConsoleCP, WaitForMultipleObjects, GetEnvironmentVariableA, FindFirstFileA, Beep, GetCPInfo, OpenMutexW, GetPrivateProfileIntA, UnhandledExceptionFilter, ResumeThread, SetConsoleCtrlHandler, GetProcessHeap, GlobalLock, GetCurrentDirectoryA, SuspendThread, OpenProcess, SetEvent, _llseek, Sleep, SetNamedPipeHandleState, GetDriveTypeA, CreateToolhelp32Snapshot, EnumResourceLanguagesW, TlsAlloc, FlushFileBuffers, CloseHandle, GetVersion, LockResource, SearchPathA, TlsFree, ReleaseSemaphore, QueryDosDeviceW, GlobalReAlloc, EnumCalendarInfoA, GetProcessAffinityMask, SetStdHandle, CreateTimerQueueTimer, lstrcpyA, DeleteCriticalSection, ExitProcess, GetComputerNameA, GetModuleFileNameW, WideCharToMultiByte, GetComputerNameW, GetTempFileNameW, DeleteFileW, InterlockedCompareExchange, LeaveCriticalSection, GetVersionExA, GetShortPathNameA, GlobalFindAtomA, TerminateProcess, RemoveDirectoryW, GetSystemTime, WinExec > USER32.dll: UnhookWindowsHookEx, DdeCreateDataHandle, FindWindowExA, GetWindowPlacement, CharNextA, CharLowerBuffW, GetCaretBlinkTime, GetKeyNameTextA, GetDlgItem, SetDlgItemTextA, SetClipboardData, FindWindowExW, GetClassInfoExA, MapDialogRect, GetWindowWord, DdeConnect, OemToCharBuffA, DdeFreeStringHandle, LoadCursorA, GetScrollRange, MessageBeep, GetActiveWindow, ValidateRect, GetCursor, DrawIconEx, DefFrameProcA, ShowScrollBar, TabbedTextOutW, InvalidateRgn, InSendMessage, GetPropA, GetQueueStatus, ReleaseDC, ChildWindowFromPoint, DrawFocusRect, OpenClipboard, TranslateAcceleratorA, ClientToScreen, GetDCEx, DestroyAcceleratorTable, DrawTextExA > MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _ltow, wcscspn, _wcsupr, _wtoi, _vsnprintf, strncpy, _itow, memmove, swprintf, _itoa, _msize, fread, calloc, wcscpy, _wcsnicmp, bsearch, atof, _controlfp, free, localtime, wcsncmp, _wtol, isspace, _wcslwr, wcstol, setlocale, toupper, wcspbrk, towupper, malloc, wcsncpy, _wtoi64, _wsplitpath, _iob, strstr ( 0 exports ) RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BAFA43EE00607E0E70A804086F27080023C4FFDC' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BAFA43EE00607E0E70A804086F27080023C4FFDC</a> |
21.04.2009, 12:48 | #4 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Ups ja klar, das kommt davon wenn man hin und her schaltet zwischen den Fällen... Warten wir mal auf Gmer...mal schaun ob wir was finden....
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
21.04.2009, 14:54 | #5 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Ergebnis von Malware: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2014 Windows 6.0.6001 Service Pack 1 21.04.2009 15:53:06 mbam-log-2009-04-21 (15-53-06).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 463113 Laufzeit: 3 hour(s), 19 minute(s), 7 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
21.04.2009, 21:23 | #6 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Nach ewigen warten und durchlaufen lassen von GMER nun endlich das Ergebnis. Ich denke es war doch richtig alle Platten durchsuchen zu lassen. Oder? Hier findet man das Logfile von gmer: Geändert von Truckbull (21.04.2009 um 21:31 Uhr) |
21.04.2009, 21:24 | #7 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? |
21.04.2009, 21:29 | #8 | |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Du hast Navipromo drauf: Zitat:
Folgendes durchführen: Navilog Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sind zu ignorieren (Anwendung erlauben!) Alle anderen Anwendungen bitte beenden! Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten. Im Sprachmenü bitte Englisch auswählen. Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter. Während der Suche nichts am Rechner machen, nur auf Programmaufforderung! Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen, Inhalt kopieren und in Thread einfügen. Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\"). http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
21.04.2009, 22:02 | #9 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Hier das Ergebnis von Navilog1 : Search Navipromo version 3.7.6 began on 21.04.2009 at 22:38:04,10 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Program Files\navilog1 Updated on 14.03.2009 at 18h00 by IL-MAFIOSO Microsoft® Windows Vista™ Business ( v6.0.6001 ) Service Pack 1 X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ ) BIOS : Phoenix - AwardBIOS v6.00PG USER : Trucki ( Administrator ) BOOT : Normal boot Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:76 Go (Free:17 Go) D:\ (CD or DVD) - CDFS - Total:4 Go (Free:0 Go) E:\ (Local Disk) - NTFS - Total:48 Go (Free:10 Go) F:\ (Local Disk) - NTFS - Total:184 Go (Free:18 Go) G:\ (CD or DVD) Search done in normal mode *** Search folders in "C:\Windows" *** *** Search folders in "C:\Program Files" *** *** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" *** *** Search folders in "c:\progra~2\micros~1\windows\startm~1" *** *** Search folders in "C:\ProgramData" *** *** Search folders in "c:\users\trucki\appdata\roaming\micros~1\windows\startm~1\programs" *** *** Search folders in "C:\Users\Trucki\AppData\Local\virtualstore\Program Files" *** *** Search folders in "C:\Users\Trucki\AppData\Local" *** *** Search folders in "C:\Users\BETZEB~1\AppData\Local" *** *** Search folders in "C:\Users\Trucki\AppData\Roaming" *** *** Search folders in "C:\Users\BETZEB~1\appdata\roaming" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\Windows\system32" * * Scan in "C:\Users\Trucki\AppData\Local\Microsoft" * * Scan in "C:\Users\Trucki\AppData\Local" * * Scan in "C:\Users\BETZEB~1\AppData\Local" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ukume"="\"c:\\users\\trucki\\appdata\\local\\ukume.exe\" ukume" *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\Windows\system32" : * In "C:\Users\Trucki\AppData\Local\Microsoft" : * In "C:\Users\Trucki\AppData\Local" : ukume.exe found ! ukume.dat found ! ukume_nav.dat found ! ukume_navps.dat found ! * In "C:\Users\BETZEB~1\AppData\Local" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 21.04.2009 at 22:59:51,10 *** |
21.04.2009, 22:13 | #10 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Navilog mit Option 2 durchführen, Log posten.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
21.04.2009, 22:27 | #11 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Erledigt und hier Logdatei Nummer 2: Navipromo Removal version 3.7.6 started on 21.04.2009 at 23:16:55,32 Fix running from C:\Program Files\navilog1 Updated on 14.03.2009 at 18h00 by IL-MAFIOSO Microsoft® Windows Vista™ Business ( v6.0.6001 ) Service Pack 1 X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ ) BIOS : Phoenix - AwardBIOS v6.00PG USER : Trucki ( Administrator ) BOOT : Normal boot Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:76 Go (Free:17 Go) D:\ (CD or DVD) - CDFS - Total:4 Go (Free:0 Go) E:\ (Local Disk) - NTFS - Total:48 Go (Free:10 Go) F:\ (Local Disk) - NTFS - Total:184 Go (Free:18 Go) G:\ (CD or DVD) Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\Windows\System32" * * Deletion in "C:\Users\Trucki\AppData\Local\Microsoft" * * Deletion in "C:\Users\Trucki\AppData\Local" * * Deletion in "C:\Users\BETZEB~1\AppData\Local" * *** Deleting folders in "C:\Windows" *** *** Deleting folders in "C:\Program Files" *** *** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" *** *** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" *** *** Deleting folders in "C:\ProgramData" *** *** Deleting folders in c:\users\trucki\appdata\roaming\micros~1\windows\startm~1\programs *** *** Deleting folders in "C:\Users\BETZEB~1\appdata\roaming\micros~1\windows\startm~1\programs" *** *** Deleting folders in "C:\Users\Trucki\AppData\Local\virtualstore\Program Files" *** *** Deleting folders in "C:\Users\Trucki\AppData\Local" *** *** Deleting folders in "C:\Users\BETZEB~1\AppData\Local" *** *** Deleting folders in "C:\Users\Trucki\AppData\Roaming" *** *** Deleting folders in "C:\Users\BETZEB~1\appdata\roaming" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\Windows\Temp done ! Cleaning of C:\Users\Trucki\AppData\Local\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\Windows\system32" * * In "C:\Users\Trucki\AppData\Local\Microsoft" * * In "C:\Users\Trucki\AppData\Local" * ukume.exe found ! Copy ukume.exe done ! ukume.exe deleted ! ukume.dat found ! Copy ukume.dat done ! ukume.dat deleted ! ukume_nav.dat found ! Copy ukume_nav.dat done ! ukume_nav.dat deleted ! ukume_navps.dat found ! Copy ukume_navps.dat done ! ukume_navps.dat deleted ! * In "C:\Users\BETZEB~1\AppData\Local" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate not found ! Electronic-Group Certificate not found ! Montorgueil Certificate not found ! OOO-Favorit Certificate not found ! Sunny-Day-Design-Ltd Certificate not found ! *** Search others known folders and files *** *** Cleaning stage complete on 21.04.2009 at 23:24:13,37 *** |
21.04.2009, 22:31 | #12 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Gute Nachrichten, kein rootkit im GMER zu sehen, Navipromo ist auch erledigt Wie geht es jetzt deinem System? Danke für deinen Einsatz Angel
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
21.04.2009, 22:32 | #13 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Navipromo ist weg. Bitteschön Redwulf,jetzt kannst weitermachen
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
21.04.2009, 22:33 | #14 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Danke Angel für die schnelle Hilfe. |
21.04.2009, 22:36 | #15 |
| Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? Ok, lassen wir nochmal den CCleaner laufen bitte, danach postest du mir bitte ein frisches Hijack
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
Themen zu Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber? |
adobe, ask toolbar, asus, avp, avp.exe, bho, defender, download, explorer, google, google update, gservice, gupdate, hkus\s-1-5-18, home, internet, internet explorer, kaspersky, launch, logfile, microsoft, nvidia, object, pdfforge toolbar, plug-in, pop-up-blocker, programme, rundll, schutz, software, solution, sweetim, system, toolbars, vista, windows, windows sidebar, wmp, yahoo |