Trojaner-Board - Win32.Delf.uv/Hypigon13 Bitte um Hilfe.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win32.Delf.uv/Hypigon13 Bitte um Hilfe. (https://www.trojaner-board.de/76770-win32-delf-uv-hypigon13-bitte-um-hilfe.html)

Win32.Delf.uv/Hypigon13 Bitte um Hilfe.

Hallo!

Das Thema Win32.delf.uv/Hypigon13 kennt man aus dem Forum bereits, aber es ist von der Bereinigung immer individuell, da diese Backdoor immer irgendwas aus dem Internet zieht.

Mein System: WinXP Service Pack

Spybot findet: win32,delf.uv
Hupigon13
Killbit Active X Element bla..
Dazu findet der Virusscanner von XP
win32.agent.tdd
win32.vp.pw
trojan.spy.html.sunfraud.a

Dazu Meldung , dass ein Spambot via Outlook was versenden will.

Verdächtige Dateien, die immer wieder sich neu von alleine bilden im Ordner, trotz Löschung: C:\Programme und Dateien\Administrator\Recent.

Ich lud G data aus dem Internet, der findet nichts.
Spybot findet nur die 3 genannten Dinger mit den Registrierungschlüssel, aber beim Erneuten Scan wieder die gleichen Schlüssel, die sich neu bilden, trotz Spybot Löschung.

Hauptproblem: Ich kann weder Firefox noch IE 8 starten, die werden wegen eines Runtime Fehler im Speicher beim Starten sofort geschlossen werden.

Nie irgendwelche dubiösen Seiten aufgerufen, normal im Internet recherchiert. Jedoch gesurft als Administrator, da der Techniker es nicht richtig konfigurierte.

Was ist zu tun? Brauche da wohl Hilfe vom Kompetenzteam.

Vielen Dank für kommende Hilfe.

:hallo:

lies dir das bitte durch und poste die Reporte, die die Programme produziert haben, die du unter 2. findest:
http://www.trojaner-board.de/anleitu...uncements.html

Ein Gmer Report, sowie den Report von Spybot waeren hilfreich...

Hallo Ralf!

Hier alle erfoderlichen Logs zur Auswertung, das Tool Malware fand über 500 Schlüssel, die ich löschte. Wennmöglich System erhalten, bitte. DAs Spybot Log war vor Bereinigung und Auswertung durch die anderen Tools.

Ich nehm an wir müssen Combofix verwenden.

Ich lade Die Logs via Einem Server hoch, weil zu groß

malware log http://www.file-upload.net/download-...lware.txt.html

spybot vor dem Einsatz der tools:

http://www.file-upload.net/download-....dest.txt.html

Vielen Dank!

Nagut, fuer die "Reste" nehmen wir Combofix:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Hi Ralf!

Wollte nochmal kurz anmerken, ich habe das malware tool mehrere Male durchlaufen lassen, es findet rein gar nichts mehr, auch das System bootet sehr gut, ohne Probleme, die Programme starten einwandfrei, die Registry zeigt keine Fehler an, auch bei mehrmaligen Durchlauf von Crap Cleaner.

Ich traue mich allerdings nicht ins Internet, weil ich nicht weiß, ob alles bereinigt wurde.

Ich werde jedoch mal das Combofix ansetzen, ich hoffe das System startet so nach wie vor. Ich poste dann das Log zur Analyse

Danke

hi Ralf Hier also comboFix als Logdatei, leider meldete avira sei aktiv gwesen, aber ich fand das avira nicht, dachte hätte es deaktiviert.

Hier das Log, muss man was machen?

ComboFix 09-08-27.A0 - Administrator 28.08.2009 14:18.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.894.439 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\test.exe
AV: avast! antivirus 4.8.1351 [VPS 090827-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-3032297273-1696993414-751637987-500
c:\windows\Installer\b1a95.msi
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-28 ))))))))))))))))))))))))))))))
.

2009-08-27 15:25 . 2009-08-17 16:04 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-08-27 15:25 . 2009-08-17 16:04 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-08-27 15:25 . 2009-08-17 16:03 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-08-27 15:25 . 2009-08-17 16:02 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-08-27 15:25 . 2009-08-17 16:06 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-08-27 15:25 . 2009-08-17 16:06 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-08-27 15:25 . 2009-08-17 16:05 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-08-27 15:25 . 2009-08-17 16:05 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-08-27 15:25 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\aswBoot.exe
2009-08-27 15:25 . 2009-08-27 15:25 -------- d-----w- c:\programme\Alwil Software
2009-08-27 09:44 . 2009-08-27 09:45 -------- d-----w- c:\programme\trend micro
2009-08-27 09:44 . 2009-08-27 10:18 -------- d-----w- C:\rsit
2009-08-27 09:15 . 2009-08-27 09:15 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-08-27 09:15 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-27 09:15 . 2009-08-27 09:15 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-27 09:15 . 2009-08-27 09:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-27 09:15 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-27 09:06 . 2009-08-27 09:06 -------- d-----w- c:\programme\CCleaner
2009-08-24 16:20 . 2009-08-24 16:20 68552 ----a-w- c:\windows\system32\drivers\GRD.sys
2009-08-24 16:19 . 2009-08-05 09:00 722424 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\dc099\mozcrt19.dll
2009-08-24 16:19 . 2009-08-05 09:00 428024 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\dc099\sqlite3.dll
2009-08-24 16:14 . 2009-08-24 16:14 50632 ----a-w- c:\windows\system32\drivers\MiniIcpt.sys
2009-08-24 16:13 . 2009-08-24 16:13 51016 ----a-w- c:\windows\system32\drivers\GDTdiIcpt.sys
2009-08-24 16:12 . 2009-08-26 08:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-08-24 16:12 . 2009-08-26 08:18 -------- d-----w- c:\programme\Gemeinsame Dateien\G DATA
2009-08-24 16:12 . 2009-08-24 16:12 -------- d-----w- c:\programme\G DATA
2009-08-24 15:34 . 2009-08-27 09:35 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\dc099
2009-08-20 14:50 . 2009-08-20 14:50 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple
2009-08-20 14:50 . 2009-08-20 14:50 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-08-20 09:07 . 2009-08-20 09:07 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Miranda
2009-08-12 09:02 . 2009-07-10 13:26 1315328 ------w- c:\windows\system32\dllcache\msoe.dll
2009-08-07 14:07 . 2009-08-07 14:07 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InterVideo
2009-08-05 08:59 . 2009-08-05 08:59 206336 ------w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-27 11:55 . 2008-07-18 06:04 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-27 11:38 . 2008-07-18 06:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-05 08:59 . 2006-02-28 02:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-23 13:04 . 2009-07-23 13:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2009-07-17 19:01 . 2006-02-28 02:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-02-28 02:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2006-02-28 02:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-25 08:25 . 2006-02-28 02:00 737792 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2006-02-28 02:00 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2006-02-28 02:00 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2006-02-28 02:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-25 08:25 . 2006-02-28 02:00 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2006-02-28 02:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-24 11:18 . 2006-02-28 02:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:36 . 2006-02-28 02:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 02:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2006-02-28 02:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-02-28 02:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-02-28 02:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-02-28 02:00 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-02-28 02:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-02-28 02:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-04 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-04 81920]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2008-04-07 318488]
"SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"JobHisInit"="c:\programme\RDS\RMClient\JobHisInit.exe" [2007-02-13 151552]
"MplSetUp"="c:\programme\RDS\RMClient\MplSetUp.exe" [2007-02-13 45056]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"TomcatStartup 2.5"="c:\programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-11-12 245760]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-09-04 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Telefon- und Branchenbuch Herbst 2008 - Schnellstarter.lnk - c:\programme\klickTel\Telefon- und Branchenbuch Herbst 2008\KSTART32.EXE [2008-8-20 461824]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Telefon- und Branchenbuch Herbst 2008 - Schnellstarter.lnk - c:\programme\klickTel\Telefon- und Branchenbuch Herbst 2008\KSTART32.EXE [2008-8-20 461824]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [27.08.2009 17:25 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27.08.2009 17:25 20560]
R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [26.06.2008 04:39 576024]
S3 VirtDisk;XSS Virtual Disk Driver;c:\windows\SMINST\virtdisk.sys [26.06.2008 04:40 57344]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HTTPFILTER

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=smb&pf=desktop
uInternet Connection Wizard,ShellNext = https://www.cleverbridge.com/30/cookie?x-origin=notifier&x-notifier=8_30_de&expiry=28&redirectto=https%3a%2f%2favira.cleverbridge.com%2f30%2f%3fscope%3dcheckout%26product%3d13929%26x-origin%3dnotifier%26x-notifier%3d8_30_de
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-28 14:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4154122899-3352670061-562927663-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6d,6d,75,55,ed,c1,d5,4b,a0,96,c5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6d,6d,75,55,ed,c1,d5,4b,a0,96,c5,\
.
Zeit der Fertigstellung: 2009-08-28 14:22
ComboFix-quarantined-files.txt 2009-08-28 12:22

Vor Suchlauf: 17 Verzeichnis(se), 132.602.585.088 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 132.616.937.472 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

161 --- E O F --- 2009-08-27 09:00

Du solltest deine Hosts Datei bearbeiten
hosts ? Wikipedia
Sie sollte nur die Zeile
127.0.0.1 localhost
enthalten.
Starte neu und poste zur Kontrolle bitte noch ein aktuelles Hijackthis log...

Also, soweit ich sehen konnte, ist die hosts Datei soweit ok; Dennoch werde ich durch IE und Firefox auf andere Google Seite geleitet, sprich www.google.de kann ich nicht aufrufen, stattdessen bekomme ich immer die englische Google Seite. Die hosts datei ist soweit ok.

Ich poste gleich RSIT

log datei von RIST:

Laut Report ist die Hostdatei immer noch "verunstaltet", wie gesagt, loesche alles aus der DAtei bis auf den Eintrag 127.0.0.1 localhost

Du solltest auch Antivir und Avast aktualisieren, wobei du nur einen Hintergrundwaechter der Programme nutzen solltest, den anderen musst du deinstallieren. Besser ist es du deinstallierst eines komplett...

Starte bitte Hijackthis, sollte C:\Programme\trend micro\Administrator.exe bei dir sein, waehle misc tools section und dort "open hostsfilemanager" dort kannst du dann alles bis auf obige Zeile loeschen und speichern...

Ich kann die Datei nicht editieren, sie ist schreibgeschützt, und mann kann die Einträge dort nicht löschen? Der Schreibschutz geht auch nicht weg. MAn kann den Schreibschutz von C/Windows/system32/drivers/cta zwar aufhaben, aber nicht für die hosts Datei

Was ist zu tun?

Hi!
Problem durch nachdenken gelöst, habe die host Datei "gereinigt", ist soweit mit dem System nun alles ok, oder muss noch was gemacht werden?? Ich wollte Avast behalten, nun weiß ich nicht, habe ich mehrere Virenscanner, oder was soll ich genau deinstallieren? Ich finde kein Avira???

Danke für die Hilfe!

Hier das Hijack File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:58, on 03.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\PDF Complete\pdfsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2008\KSTART32.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\HEWLET~1\Toolbox\STATUS~1\STATUS~1.EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup
C:\Programme\trend micro\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TY...smb&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.cleverbridge.com/30/cook...fier%3d8_30_de
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RDS\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RDS\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Telefon- und Branchenbuch Herbst 2008 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Herbst 2008\KSTART32.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6450 bytes