Trojaner-Board - Trojanisches Pferd "Startpage.ARD"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojanisches Pferd "Startpage.ARD" (https://www.trojaner-board.de/20878-trojanisches-pferd-startpage-ard.html)

Trojanisches Pferd "Startpage.ARD"

Hallo..

Habe mir seit langem mal wieder einen Trojaner eingefangen..

Wollte mir dann mal schnell "escan" runterladen aber da macht er mir einen Strich durch die Rechnung..
Wenn ich nämlich auf download 1 oder download 2 gehe, öffnet er immer eine leere Seite unter "res://nefar.dll/http_403.htm"...

Das Pferd heißt "Startpage.ARD" und die Datei heißt C:\WINNT\nefar.dll

Das komische ist, das mir mein Norman Virus Control sagt, das er ihn gefunden und entfernt hat.. Das verstehe ich nun nicht so ganz..

Lege hier mal mein Logfile ab, vielleicht kann mir einer helfen..

Danke..
.....
Habe jetzt escan runtergeladen, allerdings ist der Button "Scan" gesperrt bzw. nicht aktiv..

Was kann ich tun...?

Logfile of HijackThis v1.99.1
Scan saved at 15:31:02, on 16.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.erzbistum-paderborn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.30:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;172.16.102.22;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {F7123DBF-E836-68E7-AD04-1168256B41F1} - C:\WINNT\system32\netuu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\system32\dpmw32.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINNT\system32\zentray.exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [apifa.exe] C:\WINNT\system32\apifa.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SCHDPL32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: NALDSK.bat
O4 - Global Startup: Outlook Express starten.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: Domain = egv.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: NameServer = 10.0.1.35,10.0.1.40
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINNT\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\System32\oodag.exe
O23 - Service: OracleORACLE6iClientCache80 - Unknown owner - c:\oracle\ORACLE6i\BIN\ONRSD80.EXE
O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINNT\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe

Hallo,
hast du es im abgesicherten Modus(F8 beim booten) versucht?

Grüße Wildone

Hab es geschafft und gerade escan durchlaufen lassen..

Jetzt hat er mir meine 48 Viren schön aufgelistet..

Was kann ich jetzt damit tun.. Hab da noch meine KillBox..

Laut der Anleitung muss ich ja einfach nur den Pfad der infizierten Datei eingeben und dann is se weg..

Was aber ist mit den Sachen die unter:

=> ***** Scanning Registry and File system for Adware/Spyware *****

und

=> ***** Scanning Registry for errors created because of Adware/Spyware *****

stehen...?

C:\WINNT\winvd32.exe infected by "Trojan.Win32.Agent.bi" Virus
C:\WINNT\system32\syskp32.exe infected by "Trojan.Win32.Agent.bi"
C:\WINNT\system32\netvu32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\system32\appfh32.exe infected by "Trojan.Win32.Agent.bi" Virus
C:\WINNT\system32\apifa.exe infected by "Trojan-Downloader.Win32.Agent.bq
C:\WINNT\system32\addxy32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\mfcnd.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\iebs.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\iebf32.exe infected by "Trojan.Win32.Agent.bi" Virus
C:\WINNT\creb32.exe infected by "Trojan.Win32.Agent.bi" Virus
C:\WINNT\atljs.exe infected by "Trojan.Win32.Agent.bi" Virus
C:\WINNT\addky32.exe infected by "Trojan.Win32.Agent.bi" Virus
C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus
C:\Dokumente und Einstellungen\Koff\Lokale Einstellungen\Temp\D98.tmp infected by "Trojan.Win32.Small.ev" Virus!
C:\DOKUME~1\Koff\LOKALE~1\Temp\D98.tmp infected by "Trojan.Win32.Small.ev" Virus!
C:\WINNT\system32\syskp32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\system32\netvu32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\system32\appfh32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\system32\apifa.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
C:\WINNT\system32\addxy32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\winvd32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\mfcnd.exe infected by "Trojan.Win32.Agent.bi" Virus
C:\WINNT\iebs.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\iebf32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\creb32.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\atljs.exe infected by "Trojan.Win32.Agent.bi" Virus!
C:\WINNT\addky32.exe infected by "Trojan.Win32.Agent.bi"

=> ***** Scanning Registry and File system for Adware/Spyware *****

Loading Spyware Signatures from FIXED Database...
System found infected with IstBAR Spyware/Adware ({5F1ABCDB-A875-46C1-8345-B72A4567E486})!
System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Wed Aug 17 10:14:12 2005 => Offending value found in HKCU\Software\powerscan !!!
Object "powerscan Spyware/Adware" found in File System! Action Taken: No Action Taken.

Offending value found in HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\power scan !!!
Object "Power scan Spyware/Adware" found in File System!
Offending value found in HKCU\Software\istbar !!!
Offending Folder C:\PROGRA~1\istbar present...
Object "istbar Spyware/Adware" found in File System!
Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\istbaristbar !!!
Object "istbar Spyware/Adware" found in File System!
Offending value found in HKCU\Software\180Solutions !!!
Object "180Solutions Spyware/Adware" found in File System
Offending value found in HKCU\Software\ist !!!
Object "istbar Spyware/Adware" found in File System!
Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Object "AltNet Spyware/Adware" found in File System
Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw !!!
Object "sw Spyware/Adware" found in File System!
Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se !!!
Object "CoolWebSearch Spyware/Adware" found in File System!
Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa !!!
Object "hsa Spyware/Adware" found in File System
Offending value found in HKLM\Software\TwainTec !!!
Object "twaintec Spyware/Adware" found in File System!

=> ***** Scanning Registry for errors created because of Adware/Spyware *****

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\MSOffice\Excel\Xlqpw.dll".
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\MSOffice\Powerpnt\Xlators\Fl40dos.pdi".
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\MSOffice\Powerpnt\Xlators\Fl21win.pdi". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\MSOffice\Powerpnt\Xlators\Hg30dos.pdi". Wed Aug 17 10:15:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\MSOffice\Powerpnt\Xlators\Hg23dos.pdi".
Entry "HKCR\CLSID\{2BC4AA6C-D6ED-4194-AA10-F7CC1ADEC7D4}" refers to invalid object "C:\WINNT\system32\Novell\xtagent.dll”
Entry "HKCR\CLSID\{6B443FA2-32B2-11D5-BC2E-00A0C9EA53EF}" refers to invalid object "C:\WINNT\system32\Novell\xtagent.dll".
Entry "HKCR\CLSID\{8ED08475-2297-11D3-BBF3-00A0C9EA53EF}" refers to invalid object "C:\WINNT\system32\Novell\xtagent.dll".
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll".
Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL".
Entry "HKCR\CLSID\{A9A674BF-771F-42E5-A440-D20DDA85A862}" refers to invalid object "C:\WINNT\system32\t66f5m0nnva.dll".
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax".
Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL".
Entry "HKCR\CLSID\{E5B2AA55-D394-4d51-BD6D-5D03385AF186}" refers to invalid object "C:\WINNT\System32\f429dhx0na.dll”
Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}".
Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}".
Entry "HKCR\ISTactivex.Installer.2" refers to invalid object "{12398DD6-40AA-4c40-A4EC-A42CFC0DE797}".
Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}".
Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}".
Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}".
Entry "HKCR\QuickTime.QuickTime.4" refers to invalid object "{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}".
Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}".

Hallo,
also ganz ehrlich auf Grund des Ausmaßes deiner Durchseuchung würde ich zum Neuaufsetzen tendieren, Anleitung dazu hier
Falls du doch noch dein System retten willst( das wird ein ordentliches gefrickel)
rate ich dir mal zu den Tools Spybot, Ad-Aware, Regseeker.

Grüße Wildone

Oooohhhhhhh SCh.....

Wollte eigentlich mein System retten..

Womit sollte ich denn anfangen.. Kann ich / darf ich schon irgendetwas davon löschen, was escan gefunden hat..?

Hab ich denn auch so eine Art "Backdoor Virus" an Bord?

Hallo,
nein einen Backdoor hast du nicht an Bord, also zu erst mal solltest du die Systemwiederherstellung ausschalten: Rechtsklick auf Arbeitsplatz>>Eigenschaften>>Systemwiederherstellung.

Die ganzen Dateien, die Escan als infected ansieht kannst du mit Killbox löschen.
Dann würde ich in dieser Reihenfolge die Programme laufen lassen Spybot, Ad-Aware und dann Regseeker ev. noch CleanUp! noch dann kannst du noch mal mit escan drüberlaufen lassen und das neue log mal posten(vor dem scan die MWAV.LOG löschen).

Grüße Wildone

Werde es so machen..

Danke schon einmal..

Hallo..

Hab jetzt Spybot und Ad-Aware mal suchen lassen und hab auch ein Teil Viren entfernt. Leider ist mein Trojaner immer noch drauf.. Mein Norman Virus Control gibt mir immer noch folgende Meldung:

Datei: C:\WINNT\nefar.dll
Trojanisches Pferd: Startpage.ARD

Neuerdings findet mein I-Explorer auch keine Anfangsseite und zeigt immer im Adressfeld

"about:blank" an.. :crazy:

So langsam geht auch meine gute Laune flöten.. :dummguck: und es is doch kurz vorm Wochenende :party:

Wie kann ich noch mein Wochenende retten..?

Hier mein HJ Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:03:49, on 19.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\NWTRAY.EXE
C:\NORMAN\bin\ZLH.EXE
C:\WINNT\mHotkey.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\WINNT\system32\dpmw32.exe
C:\WINNT\system32\mfcrq32.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Novell\ZENworks\NalAgent.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\sysjd32.exe
C:\Dokumente und Einstellungen\Koff\Startmenü\Programme\Autostart\SCHDPL32.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\bin\cclaw.exe
C:\HiJack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\nefar.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nefar.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\nefar.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\nefar.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nefar.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\nefar.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\nefar.dll/sp.html#63796
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.30:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;172.16.102.22;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {F7123DBF-E836-68E7-AD04-1168256B41F1} - C:\WINNT\system32\netuu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\system32\dpmw32.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINNT\system32\zentray.exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [mfcrq32.exe] C:\WINNT\system32\mfcrq32.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SCHDPL32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office10\OSA.EXE
O4 - Global Startup: NALDSK.bat
O4 - Global Startup: Outlook Express starten.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: Domain = egv.intra
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B4283A9-BE34-4540-9935-9AD7BB0B7CE4}: NameServer = 10.0.1.35,10.0.1.40
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: NetIdentity Notification - C:\WINNT\system32\Novell\XtNotify.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\Programme\Novell\ZENworks\nalntsrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NORMAN\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\System32\oodag.exe
O23 - Service: OracleORACLE6iClientCache80 - Unknown owner - c:\oracle\ORACLE6i\BIN\ONRSD80.EXE
O23 - Service: Novell ZfD Remote Management (Remote Management Agent) - Novell Inc. - C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
O23 - Service: Novell XTier Agent Services (XTAgent) - Novell, Inc. - C:\WINNT\System32\Novell\XTAgent.exe
O23 - Service: Arbeitsstations-Manager (ZFDWM) - Novell, Inc. - C:\Programme\Novell\ZENworks\wm.exe