PC lahmt bitte seht Euch mal meine LOG-File an!!

[Unregistriert]

Logfile of HijackThis v1.99.1

Code:

Scan saved at 11:31:11, on 18.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\?ti2evxx.exe
C:\Programme\ricu\habo.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Alexys\Desktop\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {77CB01DF-BA38-94CB-49E5-E3BC6A7EE3BC} - C:\WINDOWS\System32\wyj.dll
O2 - BHO: (no name) - {83211843-A5F4-DF03-D33C-FE1D804040E2} - C:\WINDOWS\System32\umjlhsqu.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [EPSON Stylus C62 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C62 Series (Kopie 1)" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mlj] C:\WINDOWS\System32\?ti2evxx.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Decm] C:\Programme\oinw\ialo.exe
O4 - HKCU\..\Run: [Ttso] C:\Programme\ricu\habo.exe
O4 - HKCU\..\Run: [Tglnkad] C:\WINDOWS\System32\m?config.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1114961725571
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTick...cab?refid=4066
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...09/mcfscan.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...r/imloader.cab
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[Ruby]

Hallo Gast

Logfiles bitte in vB Code posten!
Siehe Ankündigung....

Kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Lade bitte diese Dateien hoch

C:\WINDOWS\System32\?ti2evxx.exe
C:\Programme\oinw\ialo.exe
C:\Programme\ricu\habo.exe
C:\WINDOWS\System32\wyj.dll
C:\WINDOWS\System32\umjlhsqu.dll

1. -> Upload malicious software (*)
2. -> ST-Adware-Upload (*)

(*) Wenn du zum hochladen ein Zip-Programm benötigst, SIMPLYZIP ist kostenlos.

3. Scanne die Dateien bei Virustotal und Jotti

Melde dich und lass uns wissen, ob der Upload zu beiden Adressen (!) funktioniert hat.
Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit.

[mr2fahrer]

!. Schritt ergab auf allen Dateien (bis auf C:\WINDOWS\System32\?ti2evxx.exe ,die ich nicht finde) Trojan.Dropper.Purityscan.I

Code:

This is a report processed by VirusTotal on 06/20/2005 at 04:13:51 (CET) after scanning the file "habo.exe" file.

Antivirus	Version	Update	Result
AntiVir	6.31.0.7	06.17.2005	no virus found
AVG	718	06.14.2005	no virus found
Avira	6.31.0.7	06.17.2005	no virus found
BitDefender	7.0	06.20.2005	no virus found
ClamAV	devel-20050501	06.19.2005	Trojan.Dropper.Purityscan.I
DrWeb	4.32b	06.19.2005	no virus found
eTrust-Iris	7.1.194.0	06.19.2005	Win32/Clspring.Variant!Trojan
eTrust-Vet	11.9.1.0	06.17.2005	no virus found
Fortinet	2.35.0.0	06.18.2005	Adware/ClickSpring
Ikarus	2.32	06.18.2005	no virus found
Kaspersky	4.0.2.24	06.20.2005	no virus found
McAfee	4516	06.17.2005	potentially unwanted program Adware-ClickSpring
NOD32v2	1.1145	06.18.2005	a variant of Win32/Adware.MediaTickets
Norman	5.70.10	06.17.2005	no virus found
Panda	8.02.00	06.19.2005	no virus found
Sybari	7.5.1314	06.20.2005	Win32/Clspring.Variant!Trojan
Symantec	8.0	06.19.2005	no virus found
TheHacker	5.8-3.0	06.20.2005	no virus found
VBA32	3.10.3	06.20.2005	suspected of Adware.PurityScan.1

Code:

This is a report processed by VirusTotal on 06/20/2005 at 04:17:24 (CET) after scanning the file "ialo.exe" file.

Antivirus	Version	Update	Result
AntiVir	6.31.0.7	06.17.2005	no virus found
AVG	718	06.14.2005	no virus found
Avira	6.31.0.7	06.17.2005	no virus found
BitDefender	7.0	06.20.2005	no virus found
ClamAV	devel-20050501	06.19.2005	Trojan.Dropper.Purityscan.I
DrWeb	4.32b	06.19.2005	no virus found
eTrust-Iris	7.1.194.0	06.19.2005	Win32/Clspring.Variant!Trojan
eTrust-Vet	11.9.1.0	06.17.2005	no virus found
Fortinet	2.35.0.0	06.18.2005	Adware/ClickSpring
Ikarus	2.32	06.18.2005	no virus found
Kaspersky	4.0.2.24	06.20.2005	no virus found
McAfee	4516	06.17.2005	potentially unwanted program Adware-ClickSpring
NOD32v2	1.1145	06.18.2005	a variant of Win32/Adware.MediaTickets
Norman	5.70.10	06.17.2005	no virus found
Panda	8.02.00	06.19.2005	no virus found
Sybari	7.5.1314	06.20.2005	Win32/Clspring.Variant!Trojan
Symantec	8.0	06.19.2005	no virus found
TheHacker	5.8-3.0	06.20.2005	no virus found
VBA32	3.10.3	06.20.2005	suspected of Adware.PurityScan.1

[code]This is a report processed by VirusTotal on 06/20/2005 at 04:22:36 (CET) after scanning the file "umjlhsqu.dll" file.

Antivirus Version Update Result
AntiVir 6.31.0.7 06.17.2005 ADSPY/PurityScan.AK
AVG 718 06.14.2005 no virus found
Avira 6.31.0.7 06.17.2005 ADSPY/PurityScan.AK
BitDefender 7.0 06.20.2005 no virus found
ClamAV devel-20050501 06.19.2005 Trojan.Dropper.Purityscan.I
DrWeb 4.32b 06.19.2005 no virus found
eTrust-Iris 7.1.194.0 06.19.2005 no virus found
eTrust-Vet 11.9.1.0 06.17.2005 no virus found
Fortinet 2.35.0.0 06.18.2005 Adware/ClickSpring
Ikarus 2.32 06.18.2005 AdWare.PurityScan.AK
Kaspersky 4.0.2.24 06.20.2005 not-a-virus:AdWare.PurityScan.ak
McAfee 4516 06.17.2005 potentially unwanted program Adware-ClickSpring
NOD32v2 1.1145 06.18.2005 no virus found
Norman 5.70.10 06.17.2005 no virus found
Panda 8.02.00 06.19.2005 Adware/PurityScan
Sybari 7.5.1314 06.20.2005 Adware.ClickSpring.G
Symantec 8.0 06.19.2005 no virus found
TheHacker 5.8-3.0 06.20.2005 Adware/PurityScan.ak
VBA32 3.10.3 06.20.2005 AdWare.PurityScan.ak[code/]

Code:

This is a report processed by VirusTotal on 06/20/2005 at 04:24:58 (CET) after scanning the file "wyj.dll" file.

Antivirus	Version	Update	Result
AntiVir	6.31.0.7	06.17.2005	ADSPY/PurityScan.AK
AVG	718	06.14.2005	no virus found
Avira	6.31.0.7	06.17.2005	ADSPY/PurityScan.AK
BitDefender	7.0	06.20.2005	no virus found
ClamAV	devel-20050501	06.19.2005	Trojan.Dropper.Purityscan.I
DrWeb	4.32b	06.19.2005	no virus found
eTrust-Iris	7.1.194.0	06.19.2005	no virus found
eTrust-Vet	11.9.1.0	06.17.2005	no virus found
Fortinet	2.35.0.0	06.18.2005	Adware/ClickSpring
Ikarus	2.32	06.18.2005	AdWare.PurityScan.AK
Kaspersky	4.0.2.24	06.20.2005	not-a-virus:AdWare.PurityScan.ak
McAfee	4516	06.17.2005	potentially unwanted program Adware-ClickSpring
NOD32v2	1.1145	06.18.2005	no virus found
Norman	5.70.10	06.17.2005	no virus found
Panda	8.02.00	06.19.2005	Adware/PurityScan
Sybari	7.5.1314	06.20.2005	Adware.ClickSpring.H
Symantec	8.0	06.19.2005	no virus found
TheHacker	5.8-3.0	06.20.2005	no virus found
VBA32	3.10.3	06.20.2005	AdWare.PurityScan.ak

[mr2fahrer]

Code:

 Datei:  	 wyj.dll
Status: 	
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: 	
-
 
AntiVir 	
Keine Viren gefunden
ArcaVir 	
Keine Viren gefunden
Avast 	
Win32:Adan-070 gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Trojan.Dropper.Purityscan.I gefunden
Dr.Web 	
not a virus Adware.ClickSpring gefunden
F-Prot Antivirus 	
Keine Viren gefunden
Fortinet 	
Adware/ClickSpring gefunden
Kaspersky Anti-Virus 	
not-a-virus:AdWare.PurityScan.ak gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
VBA32 	
AdWare.PurityScan.ak gefunden

Code:

the file "umjlhsqu.dll" file.

Antivirus	Version	Update	Result
AntiVir	6.31.0.7	06.17.2005	ADSPY/PurityScan.AK
AVG	718	06.14.2005	no virus found
Avira	6.31.0.7	06.17.2005	ADSPY/PurityScan.AK
BitDefender	7.0	06.20.2005	no virus found
ClamAV	devel-20050501	06.19.2005	Trojan.Dropper.Purityscan.I
DrWeb	4.32b	06.19.2005	no virus found
eTrust-Iris	7.1.194.0	06.19.2005	no virus found
eTrust-Vet	11.9.1.0	06.17.2005	no virus found
Fortinet	2.35.0.0	06.18.2005	Adware/ClickSpring
Ikarus	2.32	06.18.2005	AdWare.PurityScan.AK
Kaspersky	4.0.2.24	06.20.2005	not-a-virus:AdWare.PurityScan.ak
McAfee	4516	06.17.2005	potentially unwanted program Adware-ClickSpring
NOD32v2	1.1145	06.18.2005	no virus found
Norman	5.70.10	06.17.2005	no virus found
Panda	8.02.00	06.19.2005	Adware/PurityScan
Sybari	7.5.1314	06.20.2005	Adware.ClickSpring.G
Symantec	8.0	06.19.2005	no virus found
TheHacker	5.8-3.0	06.20.2005	Adware/PurityScan.ak
VBA32	3.10.3	06.20.2005	AdWare.PurityScan.ak

Code:

 Datei:  	 umjlhsqu.dll
Status: 	
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: 	
Bitte warten...
 
AntiVir 	
Keine Viren gefunden
ArcaVir 	
Adware.Purityscan.Ak gefunden
Avast 	
Win32:Adan-070 gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Trojan.Dropper.Purityscan.I gefunden
Dr.Web 	
not a virus Adware.ClickSpring gefunden
F-Prot Antivirus 	
Keine Viren gefunden
Fortinet 	
Adware/ClickSpring gefunden
Kaspersky Anti-Virus 	
not-a-virus:AdWare.PurityScan.ak gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
VBA32 	
AdWare.PurityScan.ak gefunden

[Ruby]

Dankeschön für die vielen richtig geposteten Logfiles @ mr2fahrer

2. Versuch:

Neustart in den abgesicherten Modus.

Start - ausführen - (schreib) cmd.exe [enter]
im neuen Fenster:
(schreib) md C:\Boese [enter]
(schreib) move C:\WINDOWS\System32\?ti2evxx.exe C:\Boese
exit

Lade den Ordner "Boese" hoch:

1. -> Upload malicious software
2. -> ST-Adware-Upload

[mr2fahrer]

Hallo!
Das funzt nicht!
Er schreibt beim letzten Schritt(move ......)"System kann die Datei nicht finden"!

[Ruby]

Hallo!
Das funzt nicht!
Er schreibt beim letzten Schritt(move ......)"System kann die Datei nicht finden"!

Was passiert wenn du anstelle von "move" -> "copy" setzt?

[mr2fahrer]

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Alexys>md C:/Boese
Syntaxfehler.

C:\Dokumente und Einstellungen\Alexys>md c:\Boese
Ein Unterverzeichnis oder eine Datei mit dem Namen "c:\Boese" existiert bereits.


C:\Dokumente und Einstellungen\Alexys>copy c:\WINDOWS\System32\?ti2evxx.exe C:\B
oese
c:\WINDOWS\System32\?ti2evxx.exe
Das System kann die angegebene Datei nicht finden.
0 Datei(en) kopiert.

C:\Dokumente und Einstellungen\Alexys>move c:\WINDOWS\Sysrem32\?ti2evxx.exe c:\B
oese
Das System kann die angegebene Datei nicht finden.

C:\Dokumente und Einstellungen\Alexys>

[Ruby]

Hallo mr2fahrer

lade Silent Runner runter.
Wende es, entsprechend der bebilderten Anleitung, an.
Erstelle damit ein Logfile und poste es.

[mr2fahrer]

Code:

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Mlj" = (value not set)
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]
"Decm" = "C:\Programme\oinw\ialo.exe" [null data]
"Ttso" = "C:\Programme\ricu\habo.exe" [null data]
"Wongbt" = (value not set)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"CloneCDTray" = ""C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"" ["Elaborate Bytes AG"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."]
"MessengerPlus3" = ""C:\Programme\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"]
"EPSON Stylus C62 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C62 Series (Kopie 1)" /O6 "USB001" /M "Stylus C62"" ["SEIKO EPSON CORPORATION"]
"EPSON Stylus C62 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"" ["SEIKO EPSON CORPORATION"]
"PPMemCheck" = "C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [file not found]
"CookiePatrol" = "C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [file not found]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{5C9425A7-9141-BFB0-61D7-C02E337A95BB}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\rtw.dll" [null data]
{83211843-A5F4-DF03-D33C-FE1D804040E2}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\umjlhsqu.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."]