Und noch einer!

[Henrik]

hier ist erstmal mein logfile

Code:

 Logfile of HijackThis v1.99.1
Scan saved at 16:56:35, on 07.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SGVucmlr\command.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tp4mon.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Henrik\Lokale Einstellungen\Temp\HijackThis.exe

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Sitecom WL-112 Utility.lnk = C:\Programme\Sitecom\Sitecom Wireless Network PC Card 54G WL-112\Installer\WINXP\WLANUTL.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: @C:\Programme\Messenger2\im2_ie_plugin.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll
O9 - Extra 'Tools' menuitem: Run IM2 Messenger - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130973081781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130973067220
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\n48o0el3ehq.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGVucmlr\command.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

wenn ich ihn auswerten lasse zeigt er mir an das die command.exe böse ist
die hab ich auch schon scannen lassen und dabei kam das herraus

Code:

 Datei überprüfen
Überprüfung von command.exe
Dateigröße: 293888 Bytes
MD5-Hashwert: 3e2c234dde711c6754f2df994fb3cc94
=======================================

F-Prot Antivirus: Virus scanning report  -  7 November 2005 @ 16:58

F-PROT ANTIVIRUS
Program version: 4.5.4
Engine version: 3.16.6

VIRUS SIGNATURE FILES
SIGN.DEF created 7 November 2005
SIGN2.DEF created 7 November 2005
MACRO.DEF created 25 October 2005

Search: /command.exe
Action: Report only
Files: "Dumb" scan of all files
Switches: -ARCHIVE -PACKED -SERVER

/command.exe  is a security risk named W32/Agent.WF


Clam AV: Keinen Virus gefunden.

VirusBlokAda: Keinen Virus gefunden.

und was kommt jetzt ???
vielen dank für die hilfe

[Ruby]

Hallo Henrik

Lade folgende Programme runter:

CCleaner
Pocket Killbox, intalliere sie auf deinem Desktop.

1
Stell bitte zunächst ale erstes Spybot's TeaTimer und/oder den Hintergrundwächter von Adaware ab, falls er laufen sollte, da er alle Arbeiten am System behindert.

2
Verwende die Funktion Programme hinzufügen/entfernen, um den WinFixer2005 zu entfernen.

3
Klick auf START > ausführen ... schreib 'services.msc' in das Eingabefensterchen, das sich dann öffnet und klicke auf 'OK'.

4
Scrolle auf der Seite, die sich nun öffnet, nach unten bis du 'Command Service' oder 'cmdService' findest...
Rechtsklick auf diesen Eintrag, wähle Eigenschaften und drücke auf 'Stop Service' oder 'Service beenden' oder 'Dienst beenden'. Wenn angezeigt wird, dass er beendet ist, setze ihn bitte im 'Start-Up' auf 'ausschalten'. Drücke nun wieder auf 'ok', um zu Windows zurückzukehren.

5
Lass HijackThis laufen. Aber nicht scannen lassen. Klicke auf den Button "None of the above, just start the program". Drücke dann auf den 'Config' Button, und dann auf 'Misc tools'. Wähle 'Delete an NT Service" ... copy/paste in das Eingabefeld:

'Command Service' oder 'cmdService' (das was oben stand)

Drücke auf "OK":

6
Lass HijackThis laufen > Misc Tools > Process Manager > Highlight:

C:\Program Files\WinFixer2005\UWFX5.exe
tclt32.exe

Wähle Kill Process

7
Boote in den abgesicherten Modus

Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\n48o0el3ehq.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGVucmlr\command.exe

Drücke auf den Fix Button.
Beende das Programm HijackThis.

8
Boote in den normalen Modus.

9
Lass nun die Pocket Killbox laufen:

Wähle Tools -> Delete Temp Files und drücke auf OK.

10
Die Killbox starten
Einstellungen:
Replace on Reboot
Nun in die killbox reinkopieren:

tclt32.exe
C:\Program Files\WinFixer2005\UWFX5.exe
C:\WINDOWS\system32\antodisc.dll
C:\WINDOWS\system32\n48o0el3ehq.dll
C:\WINDOWS\SGVucmlr\command.exe

Für jede Datei zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja und die Zweite
dann mit Ja bestätigen, wenn alle Dateien in der Killbox sind.

Den Rechner neu aufstarten/den Neustart erzwingen, wenn die Killbox nicht von alleine aufstartet!

11
Boote in den abgesicherten Modus

12
Lösche mit dem Windows Explorer:

tclt32.exe <--- diese Datei, wenn vorhanden
C:\Program Files\WinFixer2005\UWFX5.exe <--- diesen Datei-File, wenn vorhanden
C:\WINDOWS\system32\antodisc.dll <--- diesen Datei-File, wenn vorhanden
C:\WINDOWS\system32\n48o0el3ehq.dll <--- diesen Datei-File
C:\WINDOWS\SGVucmlr\command.exe <--- diesen Datei-File
C:\WINDOWS\SGVucmlr <--- diesen Ordner

13
Lass nun den CCleaner laufen.
Achte darauf dass der Inhalt von C:\WINDOWS\Prefetch geleert wird!

14
START > ausführen (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden

15
Boote in den normalen Modus.

16
Lass HijackThis laufen,
erstelle und poste ein neues Logfile.

Quelle

[Henrik]

sorry ich finde kein winfixer2005 den ich entfernen kann

[Henrik]

punkt 4-6 funktionieren leider auch nicht arghhhhh

[Ruby]

gut .. du geh&#246;rst also zu den Gl&#252;cklichen, die nicht unter dem Winfixer leiden ...

1
Stell bitte zun&#228;chst ale erstes Spybot's TeaTimer und/oder den Hintergrundw&#228;chter von Adaware ab, falls er laufen sollte, da er alle Arbeiten am System behindert.

1
Verwende die Funktion Programme hinzuf&#252;gen/entfernen, um den WinFixer2005 zu entfernen.

2
Klick auf START > ausf&#252;hren ... schreib 'services.msc' in das Eingabefensterchen, das sich dann &#246;ffnet und klicke auf 'OK'.

3
Scrolle auf der Seite, die sich nun &#246;ffnet, nach unten bis du 'Command Service' oder 'cmdService' findest...
Rechtsklick auf diesen Eintrag, w&#228;hle Eigenschaften und dr&#252;cke auf 'Stop Service' oder 'Service beenden' oder 'Dienst beenden'. Wenn angezeigt wird, dass er beendet ist, setze ihn bitte im 'Start-Up' auf 'ausschalten'. Dr&#252;cke nun wieder auf 'ok', um zu Windows zur&#252;ckzukehren.

4
Lass HijackThis laufen. Aber nicht scannen lassen. Klicke auf den Button "None of the above, just start the program". Dr&#252;cke dann auf den 'Config' Button, und dann auf 'Misc tools'. W&#228;hle 'Delete an NT Service" ... copy/paste in das Eingabefeld:

'Command Service' oder 'cmdService' (das was oben stand)

Dr&#252;cke auf "OK":

5
Boote in den abgesicherten Modus

Lass Hijackthis laufen,
klick scan und setze ein H&#228;kchen neben jeden dieser Eintr&#228;ge.
Dr&#252;cke dann auf den Fix Button:

O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\n48o0el3ehq.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGVucmlr\command.exe

Dr&#252;cke auf den Fix Button.
Beende das Programm HijackThis.

6
Boote in den normalen Modus.

7
Lass nun die Pocket Killbox laufen:

W&#228;hle Tools -> Delete Temp Files und dr&#252;cke auf OK.

8
Die Killbox starten
Einstellungen:
Replace on Reboot
Nun in die killbox reinkopieren:

C:\WINDOWS\system32\n48o0el3ehq.dll
C:\WINDOWS\SGVucmlr\command.exe

F&#252;r jede Datei zus&#228;tzlich die Option "Use Dummy" ausw&#228;hlen,
das rote X dr&#252;cken
die erste Meldung (Confirmation) mit Ja und die Zweite
dann mit Ja best&#228;tigen, wenn alle Dateien in der Killbox sind.

Den Rechner neu aufstarten/den Neustart erzwingen, wenn die Killbox nicht von alleine aufstartet!

9
Boote in den abgesicherten Modus

10
L&#246;sche mit dem Windows Explorer:

C:\WINDOWS\system32\n48o0el3ehq.dll <--- diesen Datei-File
C:\WINDOWS\SGVucmlr\command.exe <--- diesen Datei-File
C:\WINDOWS\SGVucmlr <--- diesen Ordner

11
Lass nun den CCleaner laufen.
Achte darauf dass der Inhalt von C:\WINDOWS\Prefetch geleert wird!

12
START > ausf&#252;hren (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden

13
Boote in den normalen Modus.

14
Lass HijackThis laufen,
erstelle und poste ein neues Logfile.

[Henrik]

und jetzt *schluchts* !!!!
die werbefenster öffnen sich trotzdem noch als wenn es kein morgen geben würde. hmmm

[Ruby]

@ Henrik

bitte erst nach der Bereinigung deines Systems weinen .. ich mag nicht alles wiederholen

14
Lass HijackThis laufen,
erstelle und poste ein neues Logfile.

[Henrik]

ja tut mir echt leid das ich so nah am wasser gebaut und hab auch echt respekt vor dem was ihr hier macht.

Code:

 Logfile of HijackThis v1.99.1
Scan saved at 18:55:36, on 07.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\tp4mon.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sitecom\Sitecom Wireless Network PC Card 54G WL-112\Installer\WINXP\WLANUTL.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Henrik\Lokale Einstellungen\Temp\HijackThis.exe

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Sitecom WL-112 Utility.lnk = C:\Programme\Sitecom\Sitecom Wireless Network PC Card 54G WL-112\Installer\WINXP\WLANUTL.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: @C:\Programme\Messenger2\im2_ie_plugin.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll
O9 - Extra 'Tools' menuitem: Run IM2 Messenger - {410C30C7-098A-4090-928E-F1D356D34C7F} - C:\Programme\Messenger2\im2_ie_plugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130973081781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130973067220
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\irp0l57m1.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[Ruby]

Hallo Henrik

lade Silent Runner runter.
Wende es, entsprechend der bebilderten Anleitung, an.
Erstelle damit ein Logfile und poste es.

[Henrik]

ich hoffe mal das das hier richtig ist

Code:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"TrackPointSrv" = "tp4mon.exe" ["IBM Corporation"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
  -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{2E0B38F4-40D7-4BF2-802D-17935DCF6175}" = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dsghelp.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
  -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
  -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
  -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
  -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{15DD277D-3528-4B86-93D4-04025574936F}" = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\guard.tmp" [file not found]
"{AEA412C0-EC9B-4CFB-BE31-761D2953A3C8}" = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\skobject.dll" [null data]
"{5931C267-E10B-4949-BD5A-064FA7A695F0}" = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dytrans.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! MS-DOS Emulation\DLLName = "C:\WINDOWS\system32\gpp6l37s1.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Henrik" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\Henrik\Startmenü\Programme\Autostart
"OpenOffice.org 2.0" -> shortcut to: "C:\Programme\OpenOffice.org 2.0\program\quickstart.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Sitecom WL-112 Utility" -> shortcut to: "C:\Programme\Sitecom\Sitecom Wireless Network PC Card 54G WL-112\Installer\WINXP\WLANUTL.exe" ["Sitecom Technology, Corp."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{410C30C7-098A-4090-928E-F1D356D34C7F}\
"ButtonText" = "@C:\Programme\Messenger2\im2_ie_plugin.dll,-4"
"MenuText" = "Run IM2 Messenger"
"CLSIDExtension" = "{98DBBF16-CA52-4C44-BE80-99E6694468A4}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Messenger2\im2_ie_plugin.dll" ["Secure Software"]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

IBM PM Service, IBMPMSVC, "C:\WINDOWS\System32\ibmpmsvc.exe" [null data]
kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
  use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 44 seconds, including 7 seconds for message boxes)