| Hellfriend | 16.03.2009 12:38 |
Rootkit.Bagle entfernt?
Hallo zusammen!
Habe die letzten Tage mit diesem echt fiesen Virus verbracht.
Den Virus habe ich mir leider selbst aus dem Internet geladen, denn ich wollte ein Programm wirklich testen können bevor ich es bezahle ... habe das zum ersten und letzten Mal getan. Die böse Datei hieß run.exe und hat kurz nach dem Ausführen versucht auf das Internet zuzugreifen wurde dabei erstmal blockiert (Fritz! Start Center). Eine vorherige Prüfung durch Avira, Spyware Terminator und Antimalware haben nichts gezeigt. Dann fuhr Windows ohne mein zutun runter was mich sehr stutzig machte. Bevor der Rechner wieder hochfuhr habe ich das Netzwerkkabel gezogen. Dann waren alle Virenprogramme (Avira,Spyware Terminator) außer Antimalware kaputt -> Quick Scan Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1822
Windows 5.1.2600 Service Pack 3
13.03.2009 15:35:09
mbam-log-2009-03-13 (15-35-03).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 67456
Laufzeit: 3 minute(s), 23 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s (Rootkit.Bagle) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Dominator\Anwendungsdaten\drivers\winupgro.exe (Trojan.Agent) -> No action taken.
Dann habe ich mit einem anderen Rechner gegoogelt und versucht mit Spybot, Regrun und Combofix das System zu reinigen. Code:
ComboFix 09-03-13.01 - Dominator 2009-03-14 0:52:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.657 [GMT 1:00]
ausgeführt von:: I:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers\downld
f:\programme\INSTALL.LOG
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SK9OU0S
-------\Legacy_SROSA
((((((((((((((((((((((( Dateien erstellt von 2009-02-13 bis 2009-03-13 ))))))))))))))))))))))))))))))
.
2009-03-13 22:08 . 2009-03-13 22:08 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2009-03-13 22:05 . 2009-03-13 22:05 <DIR> d-------- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\RegRun
2009-03-13 21:35 . 2009-03-13 21:35 <DIR> d-------- c:\windows\RestoreSafeDeleted
2009-03-13 21:34 . 2009-03-13 23:24 29,584 --a------ c:\windows\system32\drivers\regguard.sys
2009-03-13 21:32 . 2008-12-16 11:08 12,752 --a------ c:\windows\system32\drivers\UnHackMeDrv.sys
2009-03-13 21:30 . 2009-03-13 21:30 34,760 --a------ c:\windows\system32\drivers\Partizan.sys
2009-03-13 21:30 . 2009-03-13 21:30 32,480 --a------ c:\windows\system32\Partizan.exe
2009-03-13 21:29 . 2009-03-13 21:29 <DIR> d-------- f:\programme\Greatis
2009-03-13 21:29 . 2008-12-22 17:04 444,128 --a------ c:\windows\RunGuard.exe
2009-03-13 21:29 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp
2009-03-13 21:29 . 2008-12-22 17:04 20,192 --a------ c:\windows\WinBait.org
2009-03-13 21:29 . 2008-12-22 17:04 20,192 --a------ c:\windows\WinBait.exe
2009-03-13 15:18 . 2009-03-14 00:54 <DIR> d--h----- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\drivers
2009-03-13 13:06 . 2009-03-13 15:18 <DIR> d-------- f:\programme\Hormonal Forecaster
2009-03-13 13:06 . 2009-03-13 13:06 14 --a------ C:\Winvdrvr.dll
2009-03-13 13:06 . 2009-03-13 13:06 14 --a------ C:\Portprcr.dvr
2009-03-13 13:06 . 2009-03-13 13:34 0 --a------ C:\hfcrgrt.ini
2009-03-08 19:16 . 2009-03-08 19:16 <DIR> d-------- f:\programme\Microsoft Silverlight
2009-03-07 16:02 . 2009-03-07 16:02 <DIR> d-------- c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SoftOrbits
2009-03-07 16:02 . 2009-02-18 18:13 1,811,670 --a------ c:\windows\system32\Desk_Cal
2009-03-06 00:08 . 2009-03-13 22:48 <DIR> d-------- f:\programme\Intelore
2009-03-02 16:17 . 2009-03-02 16:17 <DIR> d-------- c:\dokumente und einstellungen\Dominator\.VirtualBox
2009-03-02 16:17 . 2009-02-16 17:46 100,560 --a------ c:\windows\system32\drivers\VBOXDRV.del
2009-03-02 16:15 . 2009-02-16 17:47 129,552 --a------ c:\windows\system32\VBoxNetFltNotify.dll
2009-03-02 16:15 . 2009-02-16 17:47 87,568 --a------ c:\windows\system32\drivers\VBoxNetFlt.sys
2009-03-02 16:14 . 2009-03-02 16:14 <DIR> d-------- f:\programme\Sun
2009-03-02 16:14 . 2009-03-02 16:17 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-03-02 16:14 . 2009-02-16 17:47 41,744 --a------ c:\windows\system32\drivers\VBoxUSBMon.sys
2009-02-25 22:38 . 2009-02-25 22:38 188,416 --a------ c:\windows\system32\HFCdtASP.dll
2009-02-17 22:08 . 2009-02-17 22:08 <DIR> d-------- f:\programme\7-Zip
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 23:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-13 22:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-13 22:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-03-13 22:21 --------- d-----w f:\programme\Spyware Terminator
2009-03-13 22:16 --------- d-----w f:\programme\Spybot - Search & Destroy
2009-03-13 21:09 --------- d-----w f:\programme\WinClamAVShield
2009-03-13 21:08 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Spyware Terminator
2009-03-13 20:35 --------- d-----w f:\programme\GEMEINSAME DATEIEN\ReGet Shared
2009-03-13 14:21 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\FRITZ!
2009-03-13 14:17 73,216 ----a-w c:\windows\ST6UNST.EXE
2009-03-13 14:17 286,720 ------w c:\windows\Setup1.exe
2009-03-13 13:04 --------- d-----w f:\programme\eMule
2009-03-12 12:38 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\OpenOffice.org2
2009-03-08 10:49 --------- d-----w f:\programme\GEMEINSAME DATEIEN\Adobe
2009-03-05 22:37 --------- d-----w f:\programme\Malwarebytes' Anti-Malware
2009-03-03 21:33 --------- d-----w f:\programme\ICQ
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-09 14:42 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\dvdcss
2009-02-06 11:41 --------- d-----w f:\programme\Hammerexamen
2009-02-03 12:34 --------- d--h--w f:\programme\InstallShield Installation Information
2009-02-03 12:34 --------- d-----w f:\programme\ElsterFormular
2009-01-24 01:44 --------- d-----w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Apple Computer
2009-01-23 14:45 --------- d-----w f:\programme\ProtectDisc Driver Installer
2009-01-20 07:48 --------- d-----w f:\programme\C-Media USB Sound
2009-01-20 07:36 --------- d-----w f:\programme\SL-8850
2008-12-29 12:01 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-10-09 10:29 18 ----a-w c:\dokumente und einstellungen\Dominator\Anwendungsdaten\SYS386LS.DAT
2007-04-15 16:47 55,296 ----a-w f:\programme\pcwProgramRemap.z.exe
2007-07-09 07:57 848 --sha-w c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan\0
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 f:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 10:09 49152 f:\programme\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
--a------ 2003-10-14 17:36 38984 f:\progra~1\ICQ\ICQNet.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2005-12-07 21:57 30208 f:\programme\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 f:\programme\Java\jre1.6.0_01\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-07-06 18:54 180269 f:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2003-02-27 13:29 47104 c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\ICQ\\Icq.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"f:\\Zocker\\Risk 2 [ENG] FIXED\\Risk 2\\RISKII.EXE"=
"f:\\Programme\\Message-Bob\\Message-Bob.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"f:\\Zocker\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"f:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"f:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"f:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"f:\\Zocker\\Scorched3D\\scorcheds.exe"=
"f:\\Programme\\Mozilla Firefox\\firefox.exe"=
"f:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"f:\\Programme\\SopCast\\SopCast.exe"=
"f:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\PROGRAMME\\eMule\\emule.exe"=
"f:\\Zocker\\callofDuty\\CoD2MP_s.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4672:UDP"= 4672:UDP:Emule Kad
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2009-03-02 41744]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2007-06-18 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [2007-05-30 201696]
R2 IGDCTRL;AVM IGD CTRL Service;f:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2009-03-13 34760]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [2009-03-02 87568]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-04-17 4352]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.SYS [2007-04-03 17149]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [2008-04-17 401920]
S3 NETGEAR NETGEAR MA101 USB Adapter(A);NETGEAR NETGEAR MA101 USB Adapter(A) Service for NETGEAR MA101 USB Adapter;c:\windows\system32\drivers\MA1012KA.SYS [2007-04-03 73728]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [2009-03-13 29584]
.
Inhalt des "geplante Tasks" Ordners
2009-03-13 c:\windows\Tasks\Startup Analyser.job
- f:\programme\Greatis\RegRunSuite\TrojanAnalyser.exe [2008-12-22 17:02]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-DAEMON Tools - f:\programme\DAEMON Tools\daemon.exe
MSConfigStartUp-DownloadAccelerator - f:\programme\DAP\DAP.EXE
MSConfigStartUp-muBlinder - c:\dokumente und einstellungen\Administrator\Desktop\muBlinder.exe
MSConfigStartUp-NeroCheck - c:\windows\system32\NeroCheck.exe
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = fritz.box
IE: Crawler Search - tbr:iemenu
LSP: f:\programme\FRITZ!DSL\\sarah.dll
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - f:\programme\Crawler\Toolbar\ctbr.dll
FF - ProfilePath - c:\dokumente und einstellungen\Dominator\Anwendungsdaten\Mozilla\Firefox\Profiles\kdgimhsh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.spiegel.de
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xcomm.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xshared.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xsupport.dll
FF - component: f:\programme\Crawler\Toolbar\firefox\components\xwsg.dll
FF - plugin: f:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: f:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: f:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: f:\programme\Veetle\VLC\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 00:56:14
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-57989841-790525478-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fa,77,ab,24,df,26,12,7a,31,18,7b,1e,cb,96,06,c8,1b,b0,08,e9,c3,12,b3,
7f,0d,4f,80,b4,a2,cf,69,19,53,ef,f2,12,08,0d,d5,8f,ff,b7,8a,80,e5,ea,f1,d6,\
"??"=hex:56,93,9d,2b,b0,04,14,af,ad,b1,58,3b,40,99,03,55
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'lsass.exe'(884)
f:\programme\FRITZ!DSL\sarah.dll
f:\programme\FRITZ!DSL\block.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\programme\AntiVir PersonalEdition Classic\sched.exe
f:\programme\AntiVir PersonalEdition Classic\avguard.exe
f:\programme\avmwlanstick\WLanNetService.exe
f:\programme\CyberLink\Shared files\RichVideo.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 1:00:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-14 00:00:00
Vor Suchlauf: 1.687.916.544 Bytes frei
Nach Suchlauf: 1,615,593,472 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
219
Das meiste hat mit Regrun gut geklappt danach habe ich Combofix und den Spybot ausgeführt. Ich denke vor allem unter Regrun hat mein System gut gelitten, da ich als Anfänger nicht sehr gut mit den zahlreichen Funktionen umgehen kann. Anschließend bin ich wieder online gegangen,habe Virenproramme geupdatet und den CCleaner und Avira,Spyware Terminator und A-Squared suchen lassen die alle nichts mehr finden . Mir ist klar, dass das ein Virus war/ist, der sehr schwer zu entfernen ist und gefährlich zu sein scheint. Bevor ich neu aufsetze will ich mir jedoch Vista besorgen und jetzt frage ich mich ob das System bis dahin wieder ausreichend sicher ist. Abschließend noch das Hijackthis log : Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:29:24, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe
F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe
F:\PROGRAMME\avmwlanstick\WlanNetService.exe
F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\svchost.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - F:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\PROGRAMME\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\PROGRAMME\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\PROGRAMME\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - F:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\PROGRAMME\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\PROGRAMME\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230549361531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1230549336265
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - F:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Adobe LM Service - Adobe Systems - F:\PROGRAMME\GEMEINSAME DATEIEN\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\PROGRAMME\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\PROGRAMME\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\PROGRAMME\GEMEINSAME DATEIEN\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - F:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\PROGRAMME\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - F:\PROGRA~1\SPYWAR~1\sp_rsser.exe
|
