Hallo,
seit zwei Tagen schlage ich mich erfolglos mit diesem Teil herum.
Spybot S+D erkennt es nicht. Adaware erkennt es, stoppt den Prozess und löscht die unten genannte Datei aus dem temp-verzeichnis. Wenn ich danach mit Adaware scanne ist es weg. Scanne ich nochmals ist es wieder da, nur heißt es dann nicht mehr xjawapqt.exe sondern nqrdxtpl.exe oder so.


Hier sind die Object Details die Adaware angibt:

Vendor:Win32.TrojanDownloader.Swizzor.br
Category:Malware
Object Type:Process
Size:-
Location:c:\dokume~1\granny~1\lokale~1\temp\xjawapqt.exe
Last Activity:06.11.2004 23:00:00
Risk Level:High
TAC index:8
Comment: (CSI MATCH)
Description: Distributed through unsolicited installations. Runs in stealth. Downloads and installs various third party malware objects.


Wenn ich die TAC-Page von Lavasoft aufrufe, heißt es: no matches found


Kann mir bitte jemand sagen wie ich das Teil dauerhaft loswerde?

@
lade dir von www.clearprog.de den clearprog.
laufen lassen, beim IE den temporary Internet Files, den Verlauf und Cookies löschen.
danach mit HijackThis ein scan machen und hier im board mit copy and paste posten

www.hijackthis.de

chaosman

Danke für die schnelle Antwort
habs so getan wie empfohlen.
Das Logfile habich unter "Win32.TrojanDownloader.Swizzor.br" im Hijackthis-Thread gepostet

Das gleiche Problem habe ich auch!
Nur das mit clearprog funktioniert nicht.
Hier mein hijack-log:

Logfile of HijackThis v1.98.2
Scan saved at 17:19:48, on 14.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
c:\Programme\AVPersonal\AVGUARD.EXE
c:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DiskeeperLite\DKService.exe
F:\WINDOWS\system32\LckFldService.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\FRITZ!DSL\Awatch.exe
F:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
c:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Logitech\Video\LogiTray.exe
F:\WINDOWS\system32\rundll32.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\MSN Messenger\msnmsgr.exe
f:\progra~1\intern~1\iexplore.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\Logitech\Video\FxSvr2.exe
F:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Programme\frnDSL\frnDSL.exe
C:\Programme\freephone\Nero StartSmart\NeroStartSmart.exe
c:\Programme\freephone\nero\nero.exe
F:\WINDOWS\explorer.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla\firefox.exe
F:\Dokumente und Einstellungen\Sedat Biricik\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.thtqqwlxqzmv.com/oVpsoX94...uqcoivTCBc.jsp
O2 - BHO: (no name) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - c:\Programme\MoreGoogle\MoreGoogle.dll
O4 - HKLM\..\Run: [AWatch] F:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "c:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] c:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] c:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGUARD.EXE
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [RdrMemo] F:\DOKUME~1\SEDATB~1\ANWEND~1\LinkThisMore\KindFragDvd.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] F:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "F:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: AntivirGuard.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {0FC9FF40-D927-4871-B808-764CD77137D4} - F:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...64/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{349AF1A9-BC57-443B-81B9-86CD8BC2A625}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B5422B-DDA7-426B-9B73-3604FC13C705}: NameServer = 192.168.122.252,192.168.122.253

Kann mir jemand helfen?

Danke!

Hallo Neuling71,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken):

O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing

wenn Du diesen Eintrag nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.thtqqwlxqzmv.com/oVpsoX9...guqcoivTCBc.jsp

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung,

Überprüfe mit virusscan.jotti.dhs.org:

F:\WINDOWS\system32\LckFldService.exe
F:\DOKUME~1\SEDATB~1\ANWEND~1\LinkThisMore\KindFra gDvd.exe

Teile uns das Ergebnis der Überprüfung mit.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

Hi Shadowdance!
Danke für deine promte Hilfe!

Leider ist die Seite virusscan.jotti.dhs.org z. Zt. inaktiv.
Habe versucht deine anderen Tipps zu befolgen.

Bin anscheinend den Mist aber immer noch nicht los.
Siehe mein Hijack-this-Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:18:37, on 15.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
c:\Programme\AVPersonal\AVGUARD.EXE
c:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DiskeeperLite\DKService.exe
F:\WINDOWS\system32\LckFldService.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Programme\FRITZ!DSL\Awatch.exe
F:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
c:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\MSN Messenger\msnmsgr.exe
F:\Programme\Logitech\Video\FxSvr2.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\Programme\frnDSL\frnDSL.exe
F:\Dokumente und Einstellungen\Sedat Biricik\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lmgchjotzxsvytwzvxunwgmp....uqcoivTCBc.jpg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - c:\Programme\MoreGoogle\MoreGoogle.dll
O4 - HKLM\..\Run: [AWatch] F:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "c:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] c:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "c:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGUARD.EXE
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] F:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "F:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: AntivirGuard.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {0FC9FF40-D927-4871-B808-764CD77137D4} - F:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...64/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{349AF1A9-BC57-443B-81B9-86CD8BC2A625}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B5422B-DDA7-426B-9B73-3604FC13C705}: NameServer = 192.168.122.252,192.168.122.253

Das Interessante ist ja, das im abgesicherten Modus der Mist nicht angezeigt wird!!

Hier der Hijack-Log im abgesicherten Modus:

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\LVComsX.exe
F:\Dokumente und Einstellungen\Sedat Biricik\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - c:\Programme\MoreGoogle\MoreGoogle.dll
O4 - HKLM\..\Run: [AWatch] F:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "c:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] c:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "c:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {0FC9FF40-D927-4871-B808-764CD77137D4} - F:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...64/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B5422B-DDA7-426B-9B73-3604FC13C705}: NameServer = 192.168.122.252,192.168.122.253

Der LockFolderService.exe ist ein Progrmam um einzelne Verzeichnisse mit Passwörter zu versehen.

Weiß du jetzt noch Rat?

Bin dir zu 1000Dank verpflichten.

Gruß
Neuling

Noch ein Nachtrag:virusscan.jotti.dhs.org geht nu doch!

LckFldServices.exe ist ok!
KindFragDVD.exe habe ich im abgesicherten Modus gelöscht!

Just for info!

Danke

@ Neuling71,

Zitat:

KindFragDVD.exe habe ich im abgesicherten Modus gelöscht!

--> was war das Ergebnis der Untersuchung dieser Datei?

Was hat der eScan ergeben? Bitte das Ergebnis, wie oben beschrieben, posten.

SD

Ok!

Siehe folgendes:

F:\DOKUME~1\SEDATB~1\ANWEND~1\LinkThisMore\KindFragDvd.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken
F:\WINDOWS\system32\UNPICVID.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
F:\WINDOWS\system32\UNPICVID2.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
C:\Eigene Dateien\Downloads\Programs\bgpro.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
f:\dokume~1\sedatb~1\lokale~1\temp\ghyeqoqz.exe tagged as not-a-virus:AdWare.Lop.e. No Action Taken.

Aktueller Hijackthis-log:

Logfile of HijackThis v1.98.2
Scan saved at 22:30:12, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
c:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DiskeeperLite\DKService.exe
F:\WINDOWS\system32\LckFldService.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Programme\FRITZ!DSL\Awatch.exe
F:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
c:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\system32\rundll32.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\MSN Messenger\msnmsgr.exe
F:\Programme\Logitech\Video\FxSvr2.exe
F:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\Programme\frnDSL\frnDSL.exe
C:\Programme\Mozilla\firefox.exe
c:\Programme\AVPersonal\AVGUARD.EXE
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Dokumente und Einstellungen\Sedat Biricik\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lmgchjotzxsvytwzvxunwgmp....uqcoivTCBc.jpg
O2 - BHO: (no name) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - c:\Programme\MoreGoogle\MoreGoogle.dll
O4 - HKLM\..\Run: [AWatch] F:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "c:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] c:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] c:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGUARD.EXE
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] F:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "F:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: AntivirGuard.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {0FC9FF40-D927-4871-B808-764CD77137D4} - F:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...64/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{349AF1A9-BC57-443B-81B9-86CD8BC2A625}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B5422B-DDA7-426B-9B73-3604FC13C705}: NameServer = 192.168.122.252,192.168.122.253

@ Neuling71,

1.) --> boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du folgenden Eintrag nicht kennst/brauchst:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.lmgchjotzxsvytwzvxunwgmp...wuqcoivTCBc.jpg

2.) a) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) b) --> "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) (not-a-virus:AdWare.Lop.e.)

Einträge unter "not-a-virus:Tool.Win32.Reboot." brauchen nicht gelöscht zu werden.

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

3.) --> Sende bitte diese Datei "F:\WINDOWS\system32\LckFldService.exe" passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - und warte das Ergebnis ab.

Pflichtlektüre:

- Vorbeugende Maßnahmen
- Entfernungs-Tools
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de
- faq.underflow.de

SD

Hi Shadowdance,

jetzt hat es anscheined endlich geklappt!

Hier mein aktueller Hijack-log:

Logfile of HijackThis v1.98.2
Scan saved at 22:48:33, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
c:\Programme\AVPersonal\AVGUARD.EXE
c:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DiskeeperLite\DKService.exe
F:\WINDOWS\system32\LckFldService.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\FRITZ!DSL\Awatch.exe
F:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
c:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\WINDOWS\system32\rundll32.exe
F:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\MSN Messenger\msnmsgr.exe
F:\Programme\Logitech\Video\FxSvr2.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Programme\frnDSL\frnDSL.exe
F:\Dokumente und Einstellungen\Sedat Biricik\Desktop\HijackThis.exe

O2 - BHO: (no name) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - c:\Programme\MoreGoogle\MoreGoogle.dll
O4 - HKLM\..\Run: [AWatch] F:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "c:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] c:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] c:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVGuard] C:\Programme\AVPersonal\AVGUARD.EXE
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "c:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] F:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "F:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: AntivirGuard.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {0FC9FF40-D927-4871-B808-764CD77137D4} - F:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...64/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{349AF1A9-BC57-443B-81B9-86CD8BC2A625}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B5422B-DDA7-426B-9B73-3604FC13C705}: NameServer = 192.168.122.252,192.168.122.253

Siehst du hier sonst noch was verdächtiges?Hoffe nicht! Großen lieben Dank!!!

Das mit mit LckFldService.exe würde ich dir noch gerne schicken, aber das mit dem passwort habe ich nicht kapiert!

Wenn du es unbedingt haben willst, erklär es mir!

Noch mal lieben Dank!!!

Im Log-File sind keine Auffälligkeiten mehr zu erkennen.
Benutzt du Folder Access?

Ja richtig. Ich benutze Folder Access!Habe keine Probleme damit!
Soll ich die Finger davonlassen?

Danke

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Opera\opera.exe
C:\DOKUME~1\Steve\LOKALE~1\Temp\Rar$EX00.984\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.guiexpxtkr.com/KbPb4Kt/XF...fchEDI/sgJ.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.search.msn.com
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [windowglue] C:\DOKUME~1\Steve\ANWEND~1\ProxyScr\does test.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Was ist das? Ich check des Prog nich, aber kann mir einer helfen?
ich hab auch den w32.trojandownloader.swizzor.br (sagt adware) aber wie bekomm ich dieses Ding weg?

http://www.cexx.org/lspfix.htm LSP reparieren

Scanne außerdem mal hiermit im abg. Modus:
http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche gefundene Malware manuell im abg. Modus.


Fixe anschl. mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.guiexpxtkr.com/KbPb4Kt/X...YfchEDI/sgJ.htm
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [windowglue] C:\DOKUME~1\Steve\ANWEND~1\ProxyScr\does test.exe