BehavesLike:Win32.ExplorerHijack - encodec.exe macht mich verrückt

Dieses Thema BehavesLike:Win32.ExplorerHijack - encodec.exe macht mich verrückt im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Manny5, 28. Apr. 2006.

Thema: BehavesLike:Win32.ExplorerHijack - encodec.exe macht mich verrückt Hallo, ich wollte mir ein Video im Internet ansehen, (kein Sxx Mist oder so alles legal). In die Internetseite war...

  1. Hallo,

    ich wollte mir ein Video im Internet ansehen, (kein Sxx Mist oder so alles legal).
    In die Internetseite war der MS Media Player direkt eingebaut. Ton hörte ich, Bild blieb schwarz.

    Darunter der Text das wenn ich nichts empfange den Media-Codec downloaden soll.
    Das tat ich dann auch, scheckte dann die Datei mit meinem GData AVK - alles OK.
    Setup und fertigstellung auch OK.

    Dann fing alles an - erste Warnungen durch GData AVK wie:

    Erkannt wurde -

    Trojan Downloader.Win32.Zlob.mn - Mediacodec-v4.229.exe - unter C:\DokumenteundEinstellungen\xx\Desktop

    Trojan Downloader.Win32.Zlob.mm - A0480759.exe - unter C:/SystemVolumen Information\restore xxxxxx

    Trojan Downloader.Win32.Zlob.mm - regperf.exe - unter C:\Windows\system32

    Trojan Downloader.Win32.Zlob.mm - IdACF.tmp - unter C:\Windows\system32

    BehavesLike:Win32.ExplorerHijack - encodec.exe - unter C:\Programme\Media-Codec

    Ich deinstallierte alles wieder - Neustart, Festplattenprüfung mit GData AVK und Ad Aware.
    Wie oben genannt wurde alles gefunden und in die Quarantänestation gelegt.

    In der Registrierung fand ich dann noch vier Ordner (Schlüssel) mit diesen Inhalten:
    Suchoption = encodec.exe
    Ergebnis=

    A0480759.exe
    regperf.exe
    IdACF.tmp
    encodec.exe

    Alles habe ich gelöscht immer wieder einen Neustart gemacht. In der msconfig nachgesehen nichts.
    Die Tools Hijack This & CW Shredder haben auch nichts gefunden.

    Wiederherstellungsoptionen sind nicht mehr vorhanden alle weg seitdem.

    Und nun passiert andauernd das hier.

    Während ich im Internet bin, blinkt ab und zu unten rechts ein gelbes Dreieck mit einem schwarzen Ausrufezeichen auf.
    Normalerweise durch MS wenn Update vorhanden.

    Kein Kommentar dazu, es blinkt nur.
    Klicke ich darauf, öffnen sich dann immer englischsprachige Seiten mit dem Sinn
    Sicherheitssoftware zu kaufen, oder aber Sexangebote werden präsent.

    Auch wenn ich nicht darauf klicke öffnet sich mit einmal der IE / Maxthon Browser mit irgendeinen Fenster das ich nicht haben will.
    Hier mal ein Auszug der genannten Seiten:

    popentertain.com/vc/as/sec3-sjfk/

    popentertain.com/vc/aff/indexauye.html

    malwarewipe.com/?rid=247

    thespyguard.com/?aff=103

    adwarepunisher.com/?aff=103

    popentertain.com/vc/cas/carnival2/index.html

    Links unkenntlich gemacht ::)

    In diesem Moment blinkt mich das Gelbe Dreieck nun schon zum vierten mal in 10 Miuten an
    und nun eine neue Fehlermeldung direkt auf den Bildschirm:

    System Warning!
    4 Errors found: (klar hatte ich heute schon mal)
    -Your computer has slowed down
    -Your Internet connection speed has decreased
    -You get popups and annoying ads when you´re online or sometimes even offline
    -Your default home page has been changed to the one you didn´t ask for
    These are true signs that you may have spyware or other unwanted software installed on your computer.

    Click OK to download spyware scan and protect your computer from spyware.
    OK oder Abbrechen.

    Wie bekomme ich diesen Störenfried / Zeitschaltuhr wieder von der Festplatte?
    Normalerweise bin ich nicht so leichtsinnig, aber diesmal habe ich echt gepennt so scheint es.

    Habe das Posting von steffi42 gelesen, aber nichts von dem trifft auf mich zu.

    Manny5
     
  2. Hey Manny5

    Poste mal ein HijackThis Log

    Gruss
    Mopao
     
  3. Hallo Mopao,

    hier die HijackThis Log:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:47:13, on 28.04.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Maxthon

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
    C:\Programme\AntiVirenKit 2006\AVKService.exe
    C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\atmclk.exe
    C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
    D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
    D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
    C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
    D:\MK Programme\Internet & Sicherheit\Maxthon Standard 1.1.120 vom 11.03.05\Maxthon\Maxthon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\SpybotSD.exe
    D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
    D:\MK Programme\MK Tools\Windows Optimieren\Hijack & CW Shredder\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.com/news?ned=de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mannys - MS IE 6.0 Browser
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
    O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - D:\MK Programme\Internet & Sicherheit\toolbar.netcraft\nctb.dll
    O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [AVKTray] C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
    O4 - HKLM\..\Run: [Zone Labs Client] D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKCU\..\Run: [Spamihilator] D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\MK Programme\Internet & Sicherheit\SpyBot-Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O4 - Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
    O4 - Global Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093161916484
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124098658546
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8FA4D1AA-9B45-4BF1-8BE4-3A47F7C8E5DB}: NameServer = 62.220.18.8 62.72.64.237
    O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
    O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
    O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Manny5
     
  4. @Manny5

    Melde mich heute Abend

    Gruss
    Mopao
     
  5. würde ich überprüfen, siehe hier deine Log-Auswertung (+ Besucherbewertung)!

    http://www.hijackthis.de/logfiles/89a3b17c5e95b56dfb7e12426b1208be.html

    den einen bösen Eintrag, sowie die anderen unbekannten Einträge kannst du ignorieren.

    pan_fee
     
  6. @Manny5

    #Rechte Maustaste auf Arbeitsplatz---->Eigenschaften---->Systemwiederherstellung----> Haken setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren---->klicke Übernehmen---->dann OK, wieder aktivieren

    #Lade dir SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.php auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, Den Anweisungen auf dem Bildschirm folgen.

    #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

    #PC neustarten--> abgesicherter Modus
    Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mannys - MS IE 6.0 Browser

    #PC neustarten--> abgesicherter Modus
    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
    Ansicht -> Haken entfernen bei Geschützte Systemdateien
    ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen
    aktivieren -> OK

    Loesche:
    C:\WINDOWS\system32\atmclk.exe

    #PC neustarten--> abgesicherter Modus
    #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

    #Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

    #Inhalt folgende ordner loeschen:
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen

    Bitte Folgende Ergebnis posten!
    #PC neustarten:
    #Neuer HijackThis Log, den Report des Ewido Scans, & symantec Scan Ergebnis hier posten.

    Gruss
    Mopao
     
  7. Hallo Mopao und PCDpan_fee

    spät aber ich komme doch noch mal rein. :1

    Das Problem scheint gelöst zu sein.

    Das gelbe Dreieck mit schwarzem Ausrufezeichen blinkte.
    Mit Strg + Alt + Entf erkannte ich die Datei atmclk.exe.

    Nachdem ich sie anklickte und auf Beenden ging war das
    gelbe Dreieck mit schwarzem Ausrufezeichen auch weg.

    Unter C:\WINDOWS\system32\ fand ich dann atmclk.exe.

    Auch fand ich das Icon ot.ico.

    Das war heute Morgen im Startmenü plaziert.

    Ein Blaues Wappenschild mit weißem Ausrufezeichen.
    Bezeichnung = Online Security Guide
    zu finden unter = www.realsecurityonline.com

    Ein grünes Wappenschild mit weißem OK Pfeil.
    Bezeichnung = Security Troubleshooting
    zu finden unter = www.youronlinesecurity.com

    Unter Regedit gab ich dann atmclk.exe. ein und ließ suchen.
    Es wurden weitere 9 Einträge hierzu gefunden.
    Diese habe ich gelöscht aber vorher gesichert.

    Nach einem erneuten Neustart und etwa 120 Minuten im Netz, immer noch kein
    gelbes Dreieck mit schwarzem Ausrufezeichen oder ähnliches.
    Auch das sich automatisch Seiten öffnen ist zur Zeit nicht vorhanden.

    Habe aber dann doch noch teilweise das hier vollzogen.

    Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mannys - MS IE 6.0 Browser

    Habe Fix checked ausgeführt.

    Im abgesicherten Modus sehe ich zur Zeit nur ein schwarzes Fenster, keine Bearbeitung möglich.
    Ich werde mich später um dieses Problem kümmern.

    Ewido kenne ich habe es bis letztes Jahr als Vollversion auf der Platte benutzt.
    Habe es aber mal durchlaufen lassen.

    #Inhalt folgende ordner loeschen:
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen

    Benutze ClearProg und Sweepi - daher sind diese beiden Ordner meistens sauber.

    Mit Symantec habe ich abgeschlossen.
    Nach 1 zerschossenen Festplatte und unzähligen beschädigten Dateien,
    woran Symantec und der Update Live Service nicht ganz Unschuldig waren.
    Vertrauen auf Symantec habe ich schon lange nicht mehr. Sorry....

    OK und hier das Ewido Scans Ergebnis.:

    ewido anti-malware - Scan Report
    ---------------------------------------------------------

    + Erstellt am: 21:10:44, 28.04.2006
    + Report-Checksumme: 585435A4

    + Scanergebnis:

    C:\Dokumente und Einstellungen\MK\Cookies\mk@atdmt[1].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup


    ::Report Ende

    ----------------------------
    und
    Logfile of HijackThis v1.99.1
    Scan saved at 21:15:02, on 28.04.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
    C:\Programme\AntiVirenKit 2006\AVKService.exe
    C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
    C:\WINDOWS\system32\oodag.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
    D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
    D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
    C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
    C:\WINDOWS\System32\svchost.exe
    D:\MK Programme\Internet & Sicherheit\Maxthon Standard 1.1.120 vom 11.03.05\Maxthon\Maxthon.exe
    D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoguard.exe
    D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoctrl.exe
    D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\SecuritySuite.ex
    D:\MK Programme\MK Tools\Windows Optimieren\Hijack & CW Shredder\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.com/news?ned=de
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MKPROG~1\INTERN~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
    O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - D:\MK Programme\Internet & Sicherheit\toolbar.netcraft\nctb.dll
    O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [AVKTray] C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
    O4 - HKLM\..\Run: [Zone Labs Client] D:\MK Programme\Internet & Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKCU\..\Run: [Spamihilator] D:\MK Programme\Internet & Sicherheit\Spamihilator\Spamihilator.exe
    O4 - Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O4 - Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
    O4 - Global Startup: PDF-XChange Capture.lnk = D:\MK Office\PDF X Change Pro 2,5\PDF-XChange 2.5\pdfSaver.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093161916484
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124098658546
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8FA4D1AA-9B45-4BF1-8BE4-3A47F7C8E5DB}: NameServer = 62.220.18.8 62.72.64.237
    O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
    O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
    O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
    O23 - Service: ewido security suite control - ewido networks - D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - D:\MK Programme\Internet & Sicherheit\Ewido\ewido anti-malware\ewidoguard.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    Also hoffe ich das es an C:\WINDOWS\system32\atmclk.exe gelegen hat.

    Vielen dank Mopao und PCDpan_fee für die Tipps.

    Manny5
     
  8. @Manny5

    HJT Log sieht gut aus

    Gruss
    Mopao
     
  9. hallo

    ich habe ein ähnliches problem mit der atmclk.exe, allerdings kann ich den process nicht beenden. Sobald ich ihn beende startet er sich sofort wieder neu! Ich habe dann die C:\WINDOWS\system32\atmclk.exe im Abgesichertem Modus gelöscht und neugestartet. Der Process war immer noch da und die Datei atmclk.exe hatte sich auch wieder in C:\WINDOWS\system32\ erstellt.
    Was kann ich tun?

    Log:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:31:48, on 01.05.2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\CTsvcCDA.EXE
    D:\x-NAV76\defwatch.exe
    C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
    C:\WINDOWS\system32\cba\pds.exe
    D:\x-NAV76\rtvscan.exe
    C:\WINDOWS\System32\dcomcfg.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\cba\xfr.exe
    C:\WINDOWS\system32\MsgSys.EXE
    D:\X-ICQ5\ICQLite.exe
    D:\x-NAV76\vptray.exe
    C:\WINDOWS\System32\ctfmon.exe
    D:\Tools-ohne-installation\procexp.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\regedit.exe
    C:\WINDOWS\System32\atmclk.exe
    D:\Tools-ohne-installation\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0407&Ext=pdf
    O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp9124.tmp
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
    O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ICQ Lite] D:\X-ICQ5\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [vptray] D:\x-NAV76\vptray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] D:\X-ICQ5\ICQLite.exe -trayboot
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\X-ICQPro\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\X-ICQPro\ICQ.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\X-ICQ5\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\X-ICQ5\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    O20 - Winlogon Notify: winexz32 - C:\WINDOWS\SYSTEM32\winexz32.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: DefWatch - Symantec Corporation - D:\x-NAV76\defwatch.exe
    O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Intel File Transfer - Intel Corporation - C:\WINDOWS\system32\cba\xfr.exe
    O23 - Service: Intel PDS - Intel Corporation - C:\WINDOWS\system32\cba\pds.exe
    O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\x-NAV76\rtvscan.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

    was soll ich machen?

    MfG Mölke
     
  10. http://board.protecus.de/t23155.htm

    Bitte dort mal lesen...............