Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

about blank hijack


  • Please log in to reply
24 replies to this topic

#1 Zack

Zack

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 10 March 2005 - 12:40 PM

Hi my name is Zack and I just joined yesterday. You helped me get rid of the Jimbutts hijack. Thanks!!!!
Now I have the about blank hijack. I either get a blank page or a generic search engine when I open explorer. It also hijacks at any point during internet use. In addition, when I open explorer my anti virus software goes crazy with alerts about trojans, etc. Please help!!!
I have all of the anti-virus and anti-spyware you recommended to get rid of Jimbutts. I just deleted some files from Windows32 which seems to have helped, but I am worried the problem will come back. Here is my log. Thank you so much!!
Y'all are the best.
zack


Logfile of HijackThis v1.98.2
Scan saved at 6:35:32 PM, on 3/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\dvd43\dvd43_tray.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Meg.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\sony\click to dvd\ctdatsvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Zachary Goldberg\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18BFD193-1671-42E6-9F2D-5A9FBE4FF1D8} - C:\WINDOWS\System32\gcfd.dll (file missing)
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Vbh] C:\WINDOWS\Meg.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Ddv] C:\WINDOWS\System32\Bsn.exe
O4 - HKLM\..\Run: [Sam] C:\WINDOWS\System32\Ohp.exe
O4 - HKLM\..\Run: [Qcn] C:\WINDOWS\Kek.exe
O4 - HKLM\..\Run: [Res] C:\WINDOWS\System32\Een.exe
O4 - HKLM\..\Run: [Hlk] C:\WINDOWS\Bbc.exe
O4 - HKLM\..\Run: [Ghl] C:\WINDOWS\System32\Nlp.exe
O4 - HKLM\..\Run: [Kif] C:\WINDOWS\Sli.exe
O4 - HKLM\..\Run: [Nir] C:\WINDOWS\Osb.exe
O4 - HKLM\..\Run: [Mpi] C:\WINDOWS\Qqa.exe
O4 - HKLM\..\Run: [Saf] C:\WINDOWS\Tcl.exe
O4 - HKLM\..\Run: [Kju] C:\WINDOWS\Dls.exe
O4 - HKLM\..\Run: [Ika] C:\WINDOWS\Mlm.exe
O4 - HKLM\..\Run: [Avb] C:\WINDOWS\System32\Uaf.exe
O4 - HKLM\..\Run: [Ldq] C:\WINDOWS\Ihr.exe
O4 - HKLM\..\Run: [Nqf] C:\WINDOWS\System32\Djg.exe
O4 - HKLM\..\Run: [Oic] C:\WINDOWS\Jaf.exe
O4 - HKLM\..\Run: [Kil] C:\WINDOWS\Fss.exe
O4 - HKLM\..\Run: [Ccs] C:\WINDOWS\System32\Bii.exe
O4 - HKLM\..\Run: [Ivk] C:\WINDOWS\Cus.exe
O4 - HKLM\..\Run: [Qjp] C:\WINDOWS\System32\Fgs.exe
O4 - HKLM\..\Run: [Eja] C:\WINDOWS\Djf.exe
O4 - HKLM\..\Run: [Sgh] C:\WINDOWS\System32\Vta.exe
O4 - HKLM\..\Run: [Sks] C:\WINDOWS\Ntu.exe
O4 - HKLM\..\Run: [Oie] C:\WINDOWS\System32\Rcv.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ZACHAR~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [Ijs] C:\WINDOWS\Etc.exe
O4 - HKLM\..\Run: [Ood] C:\WINDOWS\Skd.exe
O4 - HKLM\..\Run: [Fos] C:\WINDOWS\System32\Iec.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\ofrt.exe
O4 - HKCU\..\Run: [ixplore] ""
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [Vbh] C:\WINDOWS\Meg.exe
O4 - HKCU\..\Run: [Ddv] C:\WINDOWS\System32\Bsn.exe
O4 - HKCU\..\Run: [Sam] C:\WINDOWS\System32\Ohp.exe
O4 - HKCU\..\Run: [Qcn] C:\WINDOWS\Kek.exe
O4 - HKCU\..\Run: [Res] C:\WINDOWS\System32\Een.exe
O4 - HKCU\..\Run: [Hlk] C:\WINDOWS\Bbc.exe
O4 - HKCU\..\Run: [Ghl] C:\WINDOWS\System32\Nlp.exe
O4 - HKCU\..\Run: [Kif] C:\WINDOWS\Sli.exe
O4 - HKCU\..\Run: [Nir] C:\WINDOWS\Osb.exe
O4 - HKCU\..\Run: [Mpi] C:\WINDOWS\Qqa.exe
O4 - HKCU\..\Run: [Saf] C:\WINDOWS\Tcl.exe
O4 - HKCU\..\Run: [Kju] C:\WINDOWS\Dls.exe
O4 - HKCU\..\Run: [Ika] C:\WINDOWS\Mlm.exe
O4 - HKCU\..\Run: [Avb] C:\WINDOWS\System32\Uaf.exe
O4 - HKCU\..\Run: [Ldq] C:\WINDOWS\Ihr.exe
O4 - HKCU\..\Run: [Nqf] C:\WINDOWS\System32\Djg.exe
O4 - HKCU\..\Run: [Oic] C:\WINDOWS\Jaf.exe
O4 - HKCU\..\Run: [Kil] C:\WINDOWS\Fss.exe
O4 - HKCU\..\Run: [Ccs] C:\WINDOWS\System32\Bii.exe
O4 - HKCU\..\Run: [Ivk] C:\WINDOWS\Cus.exe
O4 - HKCU\..\Run: [Qjp] C:\WINDOWS\System32\Fgs.exe
O4 - HKCU\..\Run: [Eja] C:\WINDOWS\Djf.exe
O4 - HKCU\..\Run: [Sgh] C:\WINDOWS\System32\Vta.exe
O4 - HKCU\..\Run: [Sks] C:\WINDOWS\Ntu.exe
O4 - HKCU\..\Run: [Oie] C:\WINDOWS\System32\Rcv.exe
O4 - HKCU\..\Run: [Ijs] C:\WINDOWS\Etc.exe
O4 - HKCU\..\Run: [Ood] C:\WINDOWS\Skd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Fos] C:\WINDOWS\System32\Iec.exe
O4 - Startup: Startprogramm fr Click to DVD-Automatikmodus.lnk = C:\Programme\sony\click to dvd\ctdatsvr.exe
O4 - Startup: winupdate47896523[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 櫬nliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} (Corporate Language Training Interface) - http://www.cltnet.de/login/dplaunch.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/0d7b08a7/enter.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {36CCC774-0BB0-4141-8C23-7BA0F6829276} (dp Launcher Control) - http://www.cltnet.de/dpLauncher.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O18 - Filter: text/html - {FA15B59C-5857-49AF-9D23-55CA755576A8} - C:\WINDOWS\System32\gcfd.dll
O18 - Filter: text/plain - {FA15B59C-5857-49AF-9D23-55CA755576A8} - C:\WINDOWS\System32\gcfd.dll

BC AdBot (Login to Remove)

 


#2 bricat

bricat

  • Members
  • 205 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:02:34 PM

Posted 10 March 2005 - 09:15 PM

you really are in a mess :thumbsup:

firstly download and run the free trial version of TDS3


Then run two online virus scans from any of the following locations and post a summary of their findings in your next reply.

http://www.ravantivirus.com/scan/ - RAV
http://www.pandasoftware.com/activescan/ - Panda
http://www.bitdefender.com/scan/licence.php - BitDefender
http://security.symantec.com/sscv6/default...id=ie&venid=sym - Symantec


then reboot and post a fresh Hijackthis log.

#3 Zack

Zack
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 11 March 2005 - 09:53 AM

ok. i followed your instructions. here are the lists. i tried to find the viruses listed by bitdefender and ravanitvirus in order to delete the files, but couldn't find them.
thanks again for your help!! i really appreciate it.
zack


Bitdefender:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdultBox.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AdultBox.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip=>related.htm: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAllCyberSearch.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchAllCyberSearch.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp3.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp3.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp4.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp4.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp5.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp5.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp6.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp6.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp7.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp7.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp8.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp8.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp9.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchCameUp9.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchGooglems.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchGooglems.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchLeftovers.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchLeftovers.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DCON.zip=>Install.inf: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DCON.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCA2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCAInternetOptimizer.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechISTactiveX.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechISTactiveX.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechISTactiveX1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechISTactiveX1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechSideFind.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ISearchTechSideFind.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\nCase1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\nCase1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\nCase2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\nCase2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NVDialer.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NVDialer.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSaveNow.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSaveNow.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSaveNow1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSaveNow1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearch.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearch.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast.zip=>WeatherCast.lnk: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast2.zip=>Uninst.exe: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast2.zip=>Weather.exe: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast3.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast3.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast4.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUWeatherCast4.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Winpup.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Winpup.zip=>sbRecovery.ini: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt11.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt12.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt13.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt21.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt22.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt23.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt31.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt32.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt33.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt41.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt42.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt43.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt51.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt52.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt53.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt61.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt62.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox4.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>default.skn: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph2.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph3.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph4.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph5.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph6.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph7.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>main.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>preview.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>sprite1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab1.bmp: password protected
C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab2.bmp: password protected
C:\WINDOWS\Downloaded Program Files\inst2.dll: infected with Trojan.Downloader.WinShow.AU



RAV antivirus:
Scan started at 3/11/2005 3:10:39 PM

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware\WISOMeinGeld\data1.cab->[ishld.7] - Backdoor:Win32/Delf.RE.dam#2 -> Infected
C:\WINDOWS\Seifenblase.bmp->ADS:dwoyvf - TrojanDownloader:Win32/Agent.BA -> Infected



Hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 3:48:33 PM, on 3/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\dvd43\dvd43_tray.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Meg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\open32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\sony\click to dvd\ctdatsvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Zachary Goldberg\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18BFD193-1671-42E6-9F2D-5A9FBE4FF1D8} - C:\WINDOWS\System32\gcfd.dll (file missing)
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Vbh] C:\WINDOWS\Meg.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Ddv] C:\WINDOWS\System32\Bsn.exe
O4 - HKLM\..\Run: [Sam] C:\WINDOWS\System32\Ohp.exe
O4 - HKLM\..\Run: [Qcn] C:\WINDOWS\Kek.exe
O4 - HKLM\..\Run: [Res] C:\WINDOWS\System32\Een.exe
O4 - HKLM\..\Run: [Hlk] C:\WINDOWS\Bbc.exe
O4 - HKLM\..\Run: [Ghl] C:\WINDOWS\System32\Nlp.exe
O4 - HKLM\..\Run: [Kif] C:\WINDOWS\Sli.exe
O4 - HKLM\..\Run: [Nir] C:\WINDOWS\Osb.exe
O4 - HKLM\..\Run: [Mpi] C:\WINDOWS\Qqa.exe
O4 - HKLM\..\Run: [Saf] C:\WINDOWS\Tcl.exe
O4 - HKLM\..\Run: [Kju] C:\WINDOWS\Dls.exe
O4 - HKLM\..\Run: [Ika] C:\WINDOWS\Mlm.exe
O4 - HKLM\..\Run: [Avb] C:\WINDOWS\System32\Uaf.exe
O4 - HKLM\..\Run: [Ldq] C:\WINDOWS\Ihr.exe
O4 - HKLM\..\Run: [Nqf] C:\WINDOWS\System32\Djg.exe
O4 - HKLM\..\Run: [Oic] C:\WINDOWS\Jaf.exe
O4 - HKLM\..\Run: [Kil] C:\WINDOWS\Fss.exe
O4 - HKLM\..\Run: [Ccs] C:\WINDOWS\System32\Bii.exe
O4 - HKLM\..\Run: [Ivk] C:\WINDOWS\Cus.exe
O4 - HKLM\..\Run: [Qjp] C:\WINDOWS\System32\Fgs.exe
O4 - HKLM\..\Run: [Eja] C:\WINDOWS\Djf.exe
O4 - HKLM\..\Run: [Sgh] C:\WINDOWS\System32\Vta.exe
O4 - HKLM\..\Run: [Sks] C:\WINDOWS\Ntu.exe
O4 - HKLM\..\Run: [Oie] C:\WINDOWS\System32\Rcv.exe
O4 - HKLM\..\Run: [Ijs] C:\WINDOWS\Etc.exe
O4 - HKLM\..\Run: [Ood] C:\WINDOWS\Skd.exe
O4 - HKLM\..\Run: [Fos] C:\WINDOWS\System32\Iec.exe
O4 - HKLM\..\Run: [Bpm] C:\WINDOWS\Hck.exe
O4 - HKLM\..\Run: [Rsd] C:\WINDOWS\System32\Idg.exe
O4 - HKLM\..\Run: [Uob] C:\WINDOWS\System32\Ctd.exe
O4 - HKLM\..\Run: [Gkd] C:\WINDOWS\Dmc.exe
O4 - HKLM\..\Run: [Hdj] C:\WINDOWS\System32\Lgf.exe
O4 - HKLM\..\Run: [Dqf] C:\WINDOWS\System32\Msn.exe
O4 - HKLM\..\Run: [Hab] C:\WINDOWS\Rkv.exe
O4 - HKLM\..\Run: [Bol] C:\WINDOWS\Mju.exe
O4 - HKLM\..\Run: [Tqm] C:\WINDOWS\System32\Fvq.exe
O4 - HKLM\..\Run: [Aab] C:\WINDOWS\Ome.exe
O4 - HKLM\..\Run: [Lne] C:\WINDOWS\System32\Egb.exe
O4 - HKLM\..\Run: [Got] C:\WINDOWS\Tlj.exe
O4 - HKLM\..\Run: [Usm] C:\WINDOWS\Jrd.exe
O4 - HKLM\..\Run: [Oag] C:\WINDOWS\System32\Gmb.exe
O4 - HKLM\..\Run: [Qfb] C:\WINDOWS\Tqt.exe
O4 - HKLM\..\Run: [Dlr] C:\WINDOWS\System32\Frg.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\ofrt.exe
O4 - HKCU\..\Run: [ixplore] ""
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [Vbh] C:\WINDOWS\Meg.exe
O4 - HKCU\..\Run: [Ddv] C:\WINDOWS\System32\Bsn.exe
O4 - HKCU\..\Run: [Sam] C:\WINDOWS\System32\Ohp.exe
O4 - HKCU\..\Run: [Qcn] C:\WINDOWS\Kek.exe
O4 - HKCU\..\Run: [Res] C:\WINDOWS\System32\Een.exe
O4 - HKCU\..\Run: [Hlk] C:\WINDOWS\Bbc.exe
O4 - HKCU\..\Run: [Ghl] C:\WINDOWS\System32\Nlp.exe
O4 - HKCU\..\Run: [Kif] C:\WINDOWS\Sli.exe
O4 - HKCU\..\Run: [Nir] C:\WINDOWS\Osb.exe
O4 - HKCU\..\Run: [Mpi] C:\WINDOWS\Qqa.exe
O4 - HKCU\..\Run: [Saf] C:\WINDOWS\Tcl.exe
O4 - HKCU\..\Run: [Kju] C:\WINDOWS\Dls.exe
O4 - HKCU\..\Run: [Ika] C:\WINDOWS\Mlm.exe
O4 - HKCU\..\Run: [Avb] C:\WINDOWS\System32\Uaf.exe
O4 - HKCU\..\Run: [Ldq] C:\WINDOWS\Ihr.exe
O4 - HKCU\..\Run: [Nqf] C:\WINDOWS\System32\Djg.exe
O4 - HKCU\..\Run: [Oic] C:\WINDOWS\Jaf.exe
O4 - HKCU\..\Run: [Kil] C:\WINDOWS\Fss.exe
O4 - HKCU\..\Run: [Ccs] C:\WINDOWS\System32\Bii.exe
O4 - HKCU\..\Run: [Ivk] C:\WINDOWS\Cus.exe
O4 - HKCU\..\Run: [Qjp] C:\WINDOWS\System32\Fgs.exe
O4 - HKCU\..\Run: [Eja] C:\WINDOWS\Djf.exe
O4 - HKCU\..\Run: [Sgh] C:\WINDOWS\System32\Vta.exe
O4 - HKCU\..\Run: [Sks] C:\WINDOWS\Ntu.exe
O4 - HKCU\..\Run: [Oie] C:\WINDOWS\System32\Rcv.exe
O4 - HKCU\..\Run: [Ijs] C:\WINDOWS\Etc.exe
O4 - HKCU\..\Run: [Ood] C:\WINDOWS\Skd.exe
O4 - HKCU\..\Run: [Fos] C:\WINDOWS\System32\Iec.exe
O4 - HKCU\..\Run: [Bpm] C:\WINDOWS\Hck.exe
O4 - HKCU\..\Run: [Rsd] C:\WINDOWS\System32\Idg.exe
O4 - HKCU\..\Run: [Uob] C:\WINDOWS\System32\Ctd.exe
O4 - HKCU\..\Run: [Gkd] C:\WINDOWS\Dmc.exe
O4 - HKCU\..\Run: [Hdj] C:\WINDOWS\System32\Lgf.exe
O4 - HKCU\..\Run: [Dqf] C:\WINDOWS\System32\Msn.exe
O4 - HKCU\..\Run: [Hab] C:\WINDOWS\Rkv.exe
O4 - HKCU\..\Run: [Bol] C:\WINDOWS\Mju.exe
O4 - HKCU\..\Run: [Tqm] C:\WINDOWS\System32\Fvq.exe
O4 - HKCU\..\Run: [Aab] C:\WINDOWS\Ome.exe
O4 - HKCU\..\Run: [Lne] C:\WINDOWS\System32\Egb.exe
O4 - HKCU\..\Run: [Got] C:\WINDOWS\Tlj.exe
O4 - HKCU\..\Run: [Usm] C:\WINDOWS\Jrd.exe
O4 - HKCU\..\Run: [Oag] C:\WINDOWS\System32\Gmb.exe
O4 - HKCU\..\Run: [Qfb] C:\WINDOWS\Tqt.exe
O4 - HKCU\..\Run: [Dlr] C:\WINDOWS\System32\Frg.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Startprogramm fr Click to DVD-Automatikmodus.lnk = C:\Programme\sony\click to dvd\ctdatsvr.exe
O4 - Startup: winupdate47896523[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 櫬nliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} (Corporate Language Training Interface) - http://www.cltnet.de/login/dplaunch.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/0d7b08a7/enter.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {36CCC774-0BB0-4141-8C23-7BA0F6829276} (dp Launcher Control) - http://www.cltnet.de/dpLauncher.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O18 - Filter: text/html - {FA15B59C-5857-49AF-9D23-55CA755576A8} - C:\WINDOWS\System32\gcfd.dll
O18 - Filter: text/plain - {FA15B59C-5857-49AF-9D23-55CA755576A8} - C:\WINDOWS\System32\gcfd.dll

#4 bricat

bricat

  • Members
  • 205 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:02:34 PM

Posted 13 March 2005 - 06:29 AM

firstly i have to apologise for the delay in replying. i had not got email notification sorted out and i "lost" your thread. it's all sorted now. :thumbsup:


firstly

Download and run
COOLWEBSHREDDER.EXE(standalone version)
Click Fix, don't just scan. Let it fix everything it asks about.


Rerun HJT,and put a tick beside these :-


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
O2 - BHO: (no name) - {18BFD193-1671-42E6-9F2D-5A9FBE4FF1D8} - C:\WINDOWS\System32\gcfd.dll (file missing)
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Vbh] C:\WINDOWS\Meg.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Ddv] C:\WINDOWS\System32\Bsn.exe
O4 - HKLM\..\Run: [Sam] C:\WINDOWS\System32\Ohp.exe
O4 - HKLM\..\Run: [Qcn] C:\WINDOWS\Kek.exe
O4 - HKLM\..\Run: [Res] C:\WINDOWS\System32\Een.exe
O4 - HKLM\..\Run: [Hlk] C:\WINDOWS\Bbc.exe
O4 - HKLM\..\Run: [Ghl] C:\WINDOWS\System32\Nlp.exe
O4 - HKLM\..\Run: [Kif] C:\WINDOWS\Sli.exe
O4 - HKLM\..\Run: [Nir] C:\WINDOWS\Osb.exe
O4 - HKLM\..\Run: [Mpi] C:\WINDOWS\Qqa.exe
O4 - HKLM\..\Run: [Saf] C:\WINDOWS\Tcl.exe
O4 - HKLM\..\Run: [Kju] C:\WINDOWS\Dls.exe
O4 - HKLM\..\Run: [Ika] C:\WINDOWS\Mlm.exe
O4 - HKLM\..\Run: [Avb] C:\WINDOWS\System32\Uaf.exe
O4 - HKLM\..\Run: [Ldq] C:\WINDOWS\Ihr.exe
O4 - HKLM\..\Run: [Nqf] C:\WINDOWS\System32\Djg.exe
O4 - HKLM\..\Run: [Oic] C:\WINDOWS\Jaf.exe
O4 - HKLM\..\Run: [Kil] C:\WINDOWS\Fss.exe
O4 - HKLM\..\Run: [Ccs] C:\WINDOWS\System32\Bii.exe
O4 - HKLM\..\Run: [Ivk] C:\WINDOWS\Cus.exe
O4 - HKLM\..\Run: [Qjp] C:\WINDOWS\System32\Fgs.exe
O4 - HKLM\..\Run: [Eja] C:\WINDOWS\Djf.exe
O4 - HKLM\..\Run: [Sgh] C:\WINDOWS\System32\Vta.exe
O4 - HKLM\..\Run: [Sks] C:\WINDOWS\Ntu.exe
O4 - HKLM\..\Run: [Oie] C:\WINDOWS\System32\Rcv.exe
O4 - HKLM\..\Run: [Ijs] C:\WINDOWS\Etc.exe
O4 - HKLM\..\Run: [Ood] C:\WINDOWS\Skd.exe
O4 - HKLM\..\Run: [Fos] C:\WINDOWS\System32\Iec.exe
O4 - HKLM\..\Run: [Bpm] C:\WINDOWS\Hck.exe
O4 - HKLM\..\Run: [Rsd] C:\WINDOWS\System32\Idg.exe
O4 - HKLM\..\Run: [Uob] C:\WINDOWS\System32\Ctd.exe
O4 - HKLM\..\Run: [Gkd] C:\WINDOWS\Dmc.exe
O4 - HKLM\..\Run: [Hdj] C:\WINDOWS\System32\Lgf.exe
O4 - HKLM\..\Run: [Dqf] C:\WINDOWS\System32\Msn.exe
O4 - HKLM\..\Run: [Hab] C:\WINDOWS\Rkv.exe
O4 - HKLM\..\Run: [Bol] C:\WINDOWS\Mju.exe
O4 - HKLM\..\Run: [Tqm] C:\WINDOWS\System32\Fvq.exe
O4 - HKLM\..\Run: [Aab] C:\WINDOWS\Ome.exe
O4 - HKLM\..\Run: [Lne] C:\WINDOWS\System32\Egb.exe
O4 - HKLM\..\Run: [Got] C:\WINDOWS\Tlj.exe
O4 - HKLM\..\Run: [Usm] C:\WINDOWS\Jrd.exe
O4 - HKLM\..\Run: [Oag] C:\WINDOWS\System32\Gmb.exe
O4 - HKLM\..\Run: [Qfb] C:\WINDOWS\Tqt.exe
O4 - HKLM\..\Run: [Dlr] C:\WINDOWS\System32\Frg.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\ofrt.exe
O4 - HKCU\..\Run: [ixplore] ""
O4 - HKCU\..\Run: [Spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [Vbh] C:\WINDOWS\Meg.exe
O4 - HKCU\..\Run: [Ddv] C:\WINDOWS\System32\Bsn.exe
O4 - HKCU\..\Run: [Sam] C:\WINDOWS\System32\Ohp.exe
O4 - HKCU\..\Run: [Qcn] C:\WINDOWS\Kek.exe
O4 - HKCU\..\Run: [Res] C:\WINDOWS\System32\Een.exe
O4 - HKCU\..\Run: [Hlk] C:\WINDOWS\Bbc.exe
O4 - HKCU\..\Run: [Ghl] C:\WINDOWS\System32\Nlp.exe
O4 - HKCU\..\Run: [Kif] C:\WINDOWS\Sli.exe
O4 - HKCU\..\Run: [Nir] C:\WINDOWS\Osb.exe
O4 - HKCU\..\Run: [Mpi] C:\WINDOWS\Qqa.exe
O4 - HKCU\..\Run: [Saf] C:\WINDOWS\Tcl.exe
O4 - HKCU\..\Run: [Kju] C:\WINDOWS\Dls.exe
O4 - HKCU\..\Run: [Ika] C:\WINDOWS\Mlm.exe
O4 - HKCU\..\Run: [Avb] C:\WINDOWS\System32\Uaf.exe
O4 - HKCU\..\Run: [Ldq] C:\WINDOWS\Ihr.exe
O4 - HKCU\..\Run: [Nqf] C:\WINDOWS\System32\Djg.exe
O4 - HKCU\..\Run: [Oic] C:\WINDOWS\Jaf.exe
O4 - HKCU\..\Run: [Kil] C:\WINDOWS\Fss.exe
O4 - HKCU\..\Run: [Ccs] C:\WINDOWS\System32\Bii.exe
O4 - HKCU\..\Run: [Ivk] C:\WINDOWS\Cus.exe
O4 - HKCU\..\Run: [Qjp] C:\WINDOWS\System32\Fgs.exe
O4 - HKCU\..\Run: [Eja] C:\WINDOWS\Djf.exe
O4 - HKCU\..\Run: [Sgh] C:\WINDOWS\System32\Vta.exe
O4 - HKCU\..\Run: [Sks] C:\WINDOWS\Ntu.exe
O4 - HKCU\..\Run: [Oie] C:\WINDOWS\System32\Rcv.exe
O4 - HKCU\..\Run: [Ijs] C:\WINDOWS\Etc.exe
O4 - HKCU\..\Run: [Ood] C:\WINDOWS\Skd.exe
O4 - HKCU\..\Run: [Fos] C:\WINDOWS\System32\Iec.exe
O4 - HKCU\..\Run: [Bpm] C:\WINDOWS\Hck.exe
O4 - HKCU\..\Run: [Rsd] C:\WINDOWS\System32\Idg.exe
O4 - HKCU\..\Run: [Uob] C:\WINDOWS\System32\Ctd.exe
O4 - HKCU\..\Run: [Gkd] C:\WINDOWS\Dmc.exe
O4 - HKCU\..\Run: [Hdj] C:\WINDOWS\System32\Lgf.exe
O4 - HKCU\..\Run: [Dqf] C:\WINDOWS\System32\Msn.exe
O4 - HKCU\..\Run: [Hab] C:\WINDOWS\Rkv.exe
O4 - HKCU\..\Run: [Bol] C:\WINDOWS\Mju.exe
O4 - HKCU\..\Run: [Tqm] C:\WINDOWS\System32\Fvq.exe
O4 - HKCU\..\Run: [Aab] C:\WINDOWS\Ome.exe
O4 - HKCU\..\Run: [Lne] C:\WINDOWS\System32\Egb.exe
O4 - HKCU\..\Run: [Got] C:\WINDOWS\Tlj.exe
O4 - HKCU\..\Run: [Usm] C:\WINDOWS\Jrd.exe
O4 - HKCU\..\Run: [Oag] C:\WINDOWS\System32\Gmb.exe
O4 - HKCU\..\Run: [Qfb] C:\WINDOWS\Tqt.exe
O4 - HKCU\..\Run: [Dlr] C:\WINDOWS\System32\Frg.exe
O4 - Startup: winupdate47896523[1].exe
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/0d7b08a7/enter.cab
O18 - Filter: text/html - {FA15B59C-5857-49AF-9D23-55CA755576A8} - C:\WINDOWS\System32\gcfd.dll
O18 - Filter: text/plain - {FA15B59C-5857-49AF-9D23-55CA755576A8} - C:\WINDOWS\System32\gcfd.dll


now close all windows and browsers and click FIX CHECKED


Could you please download DelDomains.zip and unzip it to your desktop.

Right click the DelDomains.inf file inside and click Install, making sure Internet Explorer is closed. You won't see anything happen. Give it a minute then reboot your PC and post a fresh Hijack This log.


Then boot up in SAFE MODE

C:\WINDOWS\System32open32.exe
C:\WINDOWS\System32gcfd.dll

navigate to and delete these files\folders in BOLD

C:\Programme\NavExcel Search Toolbar


now boot up normally


ununstall spywarevanisher it is bogus.

then reboot and post a fresh Hijackthis log.

Edited by bricat, 13 March 2005 - 06:30 AM.


#5 Zack

Zack
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 13 March 2005 - 07:22 AM

i followed you instructions, but everything seems to come back after a reboot. i also keep getting the warning: Trojan Horse TR/Start Page.qr.DLL, every time i restart.
after doing everything, here is my latest HJT log:

Logfile of HijackThis v1.98.2
Scan saved at 1:18:17 PM, on 3/13/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\dvd43\dvd43_tray.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Bok.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\sony\click to dvd\ctdatsvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\open32.exe
C:\DOKUME~1\ZACHAR~1\LOKALE~1\Temp\tmpF.tmp
C:\Dokumente und Einstellungen\Zachary Goldberg\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ZACHAR~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ZACHAR~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O2 - BHO: (no name) - {F27F04C6-5D82-414C-9F80-29607652F9E5} - C:\WINDOWS\system32\ljee.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Nns] C:\WINDOWS\System32\Ttd.exe
O4 - HKLM\..\Run: [Lra] C:\WINDOWS\Bok.exe
O4 - HKLM\..\Run: [Rhp] C:\WINDOWS\System32\Mcf.exe
O4 - HKLM\..\Run: [Esd] C:\WINDOWS\System32\Pri.exe
O4 - HKLM\..\Run: [Cgh] C:\WINDOWS\Adl.exe
O4 - HKLM\..\Run: [Trg] C:\WINDOWS\System32\Gfp.exe
O4 - HKLM\..\Run: [Qji] C:\WINDOWS\Trt.exe
O4 - HKLM\..\Run: [Gag] C:\WINDOWS\Bpr.exe
O4 - HKLM\..\Run: [Lmd] C:\WINDOWS\System32\Blc.exe
O4 - HKLM\..\Run: [Hki] C:\WINDOWS\System32\Odg.exe
O4 - HKLM\..\Run: [Ofk] C:\WINDOWS\System32\Jgu.exe
O4 - HKLM\..\Run: [Qrb] C:\WINDOWS\Udc.exe
O4 - HKLM\..\Run: [Ttu] C:\WINDOWS\System32\Vmk.exe
O4 - HKLM\..\Run: [Maq] C:\WINDOWS\Obb.exe
O4 - HKLM\..\Run: [Smq] C:\WINDOWS\Pno.exe
O4 - HKLM\..\Run: [Bsc] C:\WINDOWS\Vfv.exe
O4 - HKLM\..\Run: [Blv] C:\WINDOWS\System32\Iec.exe
O4 - HKLM\..\Run: [Reb] C:\WINDOWS\Sit.exe
O4 - HKLM\..\Run: [Edf] C:\WINDOWS\System32\Bcs.exe
O4 - HKLM\..\Run: [Qre] C:\WINDOWS\Buq.exe
O4 - HKLM\..\Run: [Jsm] C:\WINDOWS\Deb.exe
O4 - HKLM\..\Run: [Khn] C:\WINDOWS\Feo.exe
O4 - HKLM\..\Run: [Hob] C:\WINDOWS\Trb.exe
O4 - HKLM\..\Run: [Ahi] C:\WINDOWS\Opp.exe
O4 - HKLM\..\Run: [Hbe] C:\WINDOWS\Irb.exe
O4 - HKLM\..\Run: [Kcq] C:\WINDOWS\System32\Vcr.exe
O4 - HKLM\..\Run: [Dnl] C:\WINDOWS\Gds.exe
O4 - HKLM\..\Run: [Tea] C:\WINDOWS\system32\Qqt.exe
O4 - HKLM\..\Run: [Jud] C:\WINDOWS\Rvo.exe
O4 - HKLM\..\Run: [Akd] C:\WINDOWS\Nhk.exe
O4 - HKLM\..\Run: [Vhr] C:\WINDOWS\Fgr.exe
O4 - HKLM\..\Run: [Ign] C:\WINDOWS\Gpq.exe
O4 - HKLM\..\Run: [Pda] C:\WINDOWS\system32\Hek.exe
O4 - HKLM\..\Run: [Emb] C:\WINDOWS\Ckf.exe
O4 - HKLM\..\Run: [Qtf] C:\WINDOWS\system32\Lbu.exe
O4 - HKLM\..\Run: [Jbb] C:\WINDOWS\system32\Hbm.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Tak] C:\WINDOWS\Kfv.exe
O4 - HKLM\..\Run: [Hre] C:\WINDOWS\system32\Pnv.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nns] C:\WINDOWS\System32\Ttd.exe
O4 - HKCU\..\Run: [Lra] C:\WINDOWS\Bok.exe
O4 - HKCU\..\Run: [Rhp] C:\WINDOWS\System32\Mcf.exe
O4 - HKCU\..\Run: [Esd] C:\WINDOWS\System32\Pri.exe
O4 - HKCU\..\Run: [Cgh] C:\WINDOWS\Adl.exe
O4 - HKCU\..\Run: [Trg] C:\WINDOWS\System32\Gfp.exe
O4 - HKCU\..\Run: [Qji] C:\WINDOWS\Trt.exe
O4 - HKCU\..\Run: [Gag] C:\WINDOWS\Bpr.exe
O4 - HKCU\..\Run: [Lmd] C:\WINDOWS\System32\Blc.exe
O4 - HKCU\..\Run: [Hki] C:\WINDOWS\System32\Odg.exe
O4 - HKCU\..\Run: [Ofk] C:\WINDOWS\System32\Jgu.exe
O4 - HKCU\..\Run: [Qrb] C:\WINDOWS\Udc.exe
O4 - HKCU\..\Run: [Ttu] C:\WINDOWS\System32\Vmk.exe
O4 - HKCU\..\Run: [Maq] C:\WINDOWS\Obb.exe
O4 - HKCU\..\Run: [Smq] C:\WINDOWS\Pno.exe
O4 - HKCU\..\Run: [Bsc] C:\WINDOWS\Vfv.exe
O4 - HKCU\..\Run: [Blv] C:\WINDOWS\System32\Iec.exe
O4 - HKCU\..\Run: [Reb] C:\WINDOWS\Sit.exe
O4 - HKCU\..\Run: [Edf] C:\WINDOWS\System32\Bcs.exe
O4 - HKCU\..\Run: [Qre] C:\WINDOWS\Buq.exe
O4 - HKCU\..\Run: [Jsm] C:\WINDOWS\Deb.exe
O4 - HKCU\..\Run: [Khn] C:\WINDOWS\Feo.exe
O4 - HKCU\..\Run: [Hob] C:\WINDOWS\Trb.exe
O4 - HKCU\..\Run: [Ahi] C:\WINDOWS\Opp.exe
O4 - HKCU\..\Run: [Hbe] C:\WINDOWS\Irb.exe
O4 - HKCU\..\Run: [Kcq] C:\WINDOWS\System32\Vcr.exe
O4 - HKCU\..\Run: [Dnl] C:\WINDOWS\Gds.exe
O4 - HKCU\..\Run: [Tea] C:\WINDOWS\system32\Qqt.exe
O4 - HKCU\..\Run: [Jud] C:\WINDOWS\Rvo.exe
O4 - HKCU\..\Run: [Akd] C:\WINDOWS\Nhk.exe
O4 - HKCU\..\Run: [Vhr] C:\WINDOWS\Fgr.exe
O4 - HKCU\..\Run: [Ign] C:\WINDOWS\Gpq.exe
O4 - HKCU\..\Run: [Pda] C:\WINDOWS\system32\Hek.exe
O4 - HKCU\..\Run: [Emb] C:\WINDOWS\Ckf.exe
O4 - HKCU\..\Run: [Qtf] C:\WINDOWS\system32\Lbu.exe
O4 - HKCU\..\Run: [Jbb] C:\WINDOWS\system32\Hbm.exe
O4 - HKCU\..\Run: [Tak] C:\WINDOWS\Kfv.exe
O4 - HKCU\..\Run: [Hre] C:\WINDOWS\system32\Pnv.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Startprogramm fr Click to DVD-Automatikmodus.lnk = C:\Programme\sony\click to dvd\ctdatsvr.exe
O4 - Startup: winupdate47896523[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 櫬nliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} (Corporate Language Training Interface) - http://www.cltnet.de/login/dplaunch.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {36CCC774-0BB0-4141-8C23-7BA0F6829276} (dp Launcher Control) - http://www.cltnet.de/dpLauncher.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O18 - Filter: text/html - {EB7CE88B-E502-4EA2-8549-175CD18E81AC} - C:\WINDOWS\system32\ljee.dll
O18 - Filter: text/plain - {EB7CE88B-E502-4EA2-8549-175CD18E81AC} - C:\WINDOWS\system32\ljee.dll

#6 bricat

bricat

  • Members
  • 205 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:02:34 PM

Posted 13 March 2005 - 07:41 AM

please download STARTDRECK

Double click on StartDreck.exe
Hit: -config
hit: -Unmark all
Check these boxes only:
*Registry->run keys
*System/drivers> Running processes
hit >ok.

Use the "save" tab, to save the log and post it in your next reply.

#7 Zack

Zack
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 13 March 2005 - 07:59 AM

ok. thanks for getting back do quickly.
zack
here u go:

StartDreck (build 2.1.7 public stable) - 2005-03-13 @ 13:58:35 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as Zachary Goldberg at HOMER

舞egistry
舞un Keys
翟urrent User
舞un
*Microsoft Update=vpc32.exe
*MessengerPlus3="C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
*MSMSGS="C:\Programme\Messenger\msmsgs.exe" /background
*Nns=C:\WINDOWS\System32\Ttd.exe
*Lra=C:\WINDOWS\Bok.exe
*Rhp=C:\WINDOWS\System32\Mcf.exe
*Esd=C:\WINDOWS\System32\Pri.exe
*Cgh=C:\WINDOWS\Adl.exe
*Trg=C:\WINDOWS\System32\Gfp.exe
*Qji=C:\WINDOWS\Trt.exe
*Gag=C:\WINDOWS\Bpr.exe
*Lmd=C:\WINDOWS\System32\Blc.exe
*Hki=C:\WINDOWS\System32\Odg.exe
*Ofk=C:\WINDOWS\System32\Jgu.exe
*Qrb=C:\WINDOWS\Udc.exe
*Ttu=C:\WINDOWS\System32\Vmk.exe
*Maq=C:\WINDOWS\Obb.exe
*Smq=C:\WINDOWS\Pno.exe
*Bsc=C:\WINDOWS\Vfv.exe
*Blv=C:\WINDOWS\System32\Iec.exe
*Reb=C:\WINDOWS\Sit.exe
*Edf=C:\WINDOWS\System32\Bcs.exe
*Qre=C:\WINDOWS\Buq.exe
*Jsm=C:\WINDOWS\Deb.exe
*Khn=C:\WINDOWS\Feo.exe
*Hob=C:\WINDOWS\Trb.exe
*Ahi=C:\WINDOWS\Opp.exe
*Hbe=C:\WINDOWS\Irb.exe
*Kcq=C:\WINDOWS\System32\Vcr.exe
*Dnl=C:\WINDOWS\Gds.exe
*Tea=C:\WINDOWS\system32\Qqt.exe
*Jud=C:\WINDOWS\Rvo.exe
*Akd=C:\WINDOWS\Nhk.exe
*Vhr=C:\WINDOWS\Fgr.exe
*Ign=C:\WINDOWS\Gpq.exe
*Pda=C:\WINDOWS\system32\Hek.exe
*Emb=C:\WINDOWS\Ckf.exe
*Qtf=C:\WINDOWS\system32\Lbu.exe
*Jbb=C:\WINDOWS\system32\Hbm.exe
*Tak=C:\WINDOWS\Kfv.exe
*Hre=C:\WINDOWS\system32\Pnv.exe
*msnmsgr="C:\Programme\MSN Messenger\msnmsgr.exe" /background
*Cqr=C:\WINDOWS\system32\Asd.exe
*Hfo=C:\WINDOWS\system32\Hsn.exe
舞unOnce
聞efault User
舞un
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
*Microsoft Update=vpc32.exe
舞unOnce
腿ocal Machine
舞un
*ezShieldProtector for Px=C:\WINDOWS\System32\ezSP_Px.exe
*ToADiMon.exe=C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
*TkBellExe="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
*Symantec NetDriver Monitor=C:\PROGRA~1\SYMNET~1\SNDMon.exe
*msnappau="C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe"
*MessengerPlus3="C:\Programme\Messenger Plus! 3\MsgPlus.exe"
*LVCOMSX=C:\WINDOWS\System32\LVCOMSX.EXE
*LogitechVideoRepair=C:\Programme\Logitech\Video\ISStart.exe
*LogitechVideoTray=C:\Programme\Logitech\Video\LogiTray.exe
*ccApp="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
*T-Online Dialerschutz-Software="C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
*AVGCtrl=C:\Programme\AVPersonal\AVGNT.EXE /min
*dvd43=C:\Programme\dvd43\dvd43_tray.exe
*DAEMON Tools-1033="C:\Programme\D-Tools\daemon.exe" -lang 1033
*Nns=C:\WINDOWS\System32\Ttd.exe
*Lra=C:\WINDOWS\Bok.exe
*Rhp=C:\WINDOWS\System32\Mcf.exe
*Esd=C:\WINDOWS\System32\Pri.exe
*Cgh=C:\WINDOWS\Adl.exe
*Trg=C:\WINDOWS\System32\Gfp.exe
*Qji=C:\WINDOWS\Trt.exe
*Gag=C:\WINDOWS\Bpr.exe
*Lmd=C:\WINDOWS\System32\Blc.exe
*Hki=C:\WINDOWS\System32\Odg.exe
*Ofk=C:\WINDOWS\System32\Jgu.exe
*Qrb=C:\WINDOWS\Udc.exe
*Ttu=C:\WINDOWS\System32\Vmk.exe
*Maq=C:\WINDOWS\Obb.exe
*Smq=C:\WINDOWS\Pno.exe
*Bsc=C:\WINDOWS\Vfv.exe
*Blv=C:\WINDOWS\System32\Iec.exe
*Reb=C:\WINDOWS\Sit.exe
*Edf=C:\WINDOWS\System32\Bcs.exe
*Qre=C:\WINDOWS\Buq.exe
*Jsm=C:\WINDOWS\Deb.exe
*Khn=C:\WINDOWS\Feo.exe
*Hob=C:\WINDOWS\Trb.exe
*Ahi=C:\WINDOWS\Opp.exe
*Hbe=C:\WINDOWS\Irb.exe
*Kcq=C:\WINDOWS\System32\Vcr.exe
*Dnl=C:\WINDOWS\Gds.exe
*Tea=C:\WINDOWS\system32\Qqt.exe
*Jud=C:\WINDOWS\Rvo.exe
*Akd=C:\WINDOWS\Nhk.exe
*Vhr=C:\WINDOWS\Fgr.exe
*Ign=C:\WINDOWS\Gpq.exe
*Pda=C:\WINDOWS\system32\Hek.exe
*Emb=C:\WINDOWS\Ckf.exe
*Qtf=C:\WINDOWS\system32\Lbu.exe
*Jbb=C:\WINDOWS\system32\Hbm.exe
*Shell=open32.exe
*Tak=C:\WINDOWS\Kfv.exe
*Hre=C:\WINDOWS\system32\Pnv.exe
*Cqr=C:\WINDOWS\system32\Asd.exe
*Hfo=C:\WINDOWS\system32\Hsn.exe
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
舞unOnce
舞unServices
*Microsoft Update=vpc32.exe
*DJSNetCN=C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
舞unServicesOnce
舞unOnceEx
舞unServicesOnceEx
肇iles
艋ystem/Drivers
舞unning Processes
+0=<idle>
+4=<system>
+408=\SystemRoot\System32\smss.exe
+644=\??\C:\WINDOWS\system32\csrss.exe
+668=\??\C:\WINDOWS\system32\winlogon.exe
+712=C:\WINDOWS\system32\services.exe
+724=C:\WINDOWS\system32\lsass.exe
+876=C:\WINDOWS\System32\Ati2evxx.exe
+892=C:\WINDOWS\system32\svchost.exe
+964=C:\WINDOWS\system32\svchost.exe
+1060=C:\WINDOWS\System32\svchost.exe
+1124=C:\WINDOWS\System32\svchost.exe
+1236=C:\WINDOWS\System32\svchost.exe
+1428=C:\WINDOWS\system32\spoolsv.exe
+1512=C:\Programme\AVPersonal\AVGUARD.EXE
+1528=C:\Programme\AVPersonal\AVWUPSRV.EXE
+1564=C:\WINDOWS\System32\drivers\CDAC11BA.EXE
+1584=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
+1608=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
+1648=C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
+1696=C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
+1748=C:\Programme\Norton Personal Firewall\ISSVC.exe
+1812=C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
+1872=C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
+1928=C:\WINDOWS\System32\svchost.exe
+1944=C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
+176=C:\WINDOWS\System32\wdfmgr.exe
+328=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
+2200=C:\WINDOWS\System32\alg.exe
+2784=C:\WINDOWS\system32\Ati2evxx.exe
+2984=C:\WINDOWS\Explorer.EXE
+3076=C:\WINDOWS\system32\wscntfy.exe
+3116=C:\WINDOWS\System32\ezSP_Px.exe
+3124=C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
+3152=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
+3328=C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe
+3340=C:\Programme\Messenger Plus! 3\MsgPlus.exe
+3384=C:\WINDOWS\System32\LVCOMSX.EXE
+3464=C:\Programme\Logitech\Video\LogiTray.exe
+3492=C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
+3524=C:\Programme\AVPersonal\AVGNT.EXE
+3536=C:\Programme\dvd43\dvd43_tray.exe
+3552=C:\Programme\D-Tools\daemon.exe
+3568=C:\WINDOWS\Bok.exe
+444=C:\Programme\Messenger\msmsgs.exe
+2140=C:\Programme\MSN Messenger\msnmsgr.exe
+532=C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
+2368=C:\Programme\CASIO\Photo Loader\Plauto.exe
+2392=C:\Programme\Logitech\Video\FxSvr2.exe
+2408=C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
+2416=C:\Programme\WinZip\WZQKPICK.EXE
+2452=C:\Programme\sony\click to dvd\ctdatsvr.exe
+1976=C:\WINDOWS\System32\open32.exe
+472=C:\DOKUME~1\ZACHAR~1\LOKALE~1\Temp\tmpF.tmp
+848=C:\Programme\Internet Explorer\iexplore.exe
+228=C:\Programme\Microsoft Office\Office10\WINWORD.EXE
+2888=C:\Dokumente und Einstellungen\Zachary Goldberg\Eigene Dateien\Unzipped\startdreck\StartDreck.exe
翠pplication specific

#8 bricat

bricat

  • Members
  • 205 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:02:34 PM

Posted 13 March 2005 - 12:37 PM

Download and install APM from here:
http://www.diamondcs.com.au/index.php?page=apm
(don't run it yet we will get to that in a minute)

Put a checkmark next to the following entries in HijackThis :-

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ZACHAR~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ZACHAR~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {F27F04C6-5D82-414C-9F80-29607652F9E5} - C:\WINDOWS\system32\ljee.dll
O4 - HKLM\..\Run: [Nns] C:\WINDOWS\System32\Ttd.exe
O4 - HKLM\..\Run: [Lra] C:\WINDOWS\Bok.exe
O4 - HKLM\..\Run: [Rhp] C:\WINDOWS\System32\Mcf.exe
O4 - HKLM\..\Run: [Esd] C:\WINDOWS\System32\Pri.exe
O4 - HKLM\..\Run: [Cgh] C:\WINDOWS\Adl.exe
O4 - HKLM\..\Run: [Trg] C:\WINDOWS\System32\Gfp.exe
O4 - HKLM\..\Run: [Qji] C:\WINDOWS\Trt.exe
O4 - HKLM\..\Run: [Gag] C:\WINDOWS\Bpr.exe
O4 - HKLM\..\Run: [Lmd] C:\WINDOWS\System32\Blc.exe
O4 - HKLM\..\Run: [Hki] C:\WINDOWS\System32\Odg.exe
O4 - HKLM\..\Run: [Ofk] C:\WINDOWS\System32\Jgu.exe
O4 - HKLM\..\Run: [Qrb] C:\WINDOWS\Udc.exe
O4 - HKLM\..\Run: [Ttu] C:\WINDOWS\System32\Vmk.exe
O4 - HKLM\..\Run: [Maq] C:\WINDOWS\Obb.exe
O4 - HKLM\..\Run: [Smq] C:\WINDOWS\Pno.exe
O4 - HKLM\..\Run: [Bsc] C:\WINDOWS\Vfv.exe
O4 - HKLM\..\Run: [Blv] C:\WINDOWS\System32\Iec.exe
O4 - HKLM\..\Run: [Reb] C:\WINDOWS\Sit.exe
O4 - HKLM\..\Run: [Edf] C:\WINDOWS\System32\Bcs.exe
O4 - HKLM\..\Run: [Qre] C:\WINDOWS\Buq.exe
O4 - HKLM\..\Run: [Jsm] C:\WINDOWS\Deb.exe
O4 - HKLM\..\Run: [Khn] C:\WINDOWS\Feo.exe
O4 - HKLM\..\Run: [Hob] C:\WINDOWS\Trb.exe
O4 - HKLM\..\Run: [Ahi] C:\WINDOWS\Opp.exe
O4 - HKLM\..\Run: [Hbe] C:\WINDOWS\Irb.exe
O4 - HKLM\..\Run: [Kcq] C:\WINDOWS\System32\Vcr.exe
O4 - HKLM\..\Run: [Dnl] C:\WINDOWS\Gds.exe
O4 - HKLM\..\Run: [Tea] C:\WINDOWS\system32\Qqt.exe
O4 - HKLM\..\Run: [Jud] C:\WINDOWS\Rvo.exe
O4 - HKLM\..\Run: [Akd] C:\WINDOWS\Nhk.exe
O4 - HKLM\..\Run: [Vhr] C:\WINDOWS\Fgr.exe
O4 - HKLM\..\Run: [Ign] C:\WINDOWS\Gpq.exe
O4 - HKLM\..\Run: [Pda] C:\WINDOWS\system32\Hek.exe
O4 - HKLM\..\Run: [Emb] C:\WINDOWS\Ckf.exe
O4 - HKLM\..\Run: [Qtf] C:\WINDOWS\system32\Lbu.exe
O4 - HKLM\..\Run: [Jbb] C:\WINDOWS\system32\Hbm.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Tak] C:\WINDOWS\Kfv.exe
O4 - HKLM\..\Run: [Hre] C:\WINDOWS\system32\Pnv.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Nns] C:\WINDOWS\System32\Ttd.exe
O4 - HKCU\..\Run: [Lra] C:\WINDOWS\Bok.exe
O4 - HKCU\..\Run: [Rhp] C:\WINDOWS\System32\Mcf.exe
O4 - HKCU\..\Run: [Esd] C:\WINDOWS\System32\Pri.exe
O4 - HKCU\..\Run: [Cgh] C:\WINDOWS\Adl.exe
O4 - HKCU\..\Run: [Trg] C:\WINDOWS\System32\Gfp.exe
O4 - HKCU\..\Run: [Qji] C:\WINDOWS\Trt.exe
O4 - HKCU\..\Run: [Gag] C:\WINDOWS\Bpr.exe
O4 - HKCU\..\Run: [Lmd] C:\WINDOWS\System32\Blc.exe
O4 - HKCU\..\Run: [Hki] C:\WINDOWS\System32\Odg.exe
O4 - HKCU\..\Run: [Ofk] C:\WINDOWS\System32\Jgu.exe
O4 - HKCU\..\Run: [Qrb] C:\WINDOWS\Udc.exe
O4 - HKCU\..\Run: [Ttu] C:\WINDOWS\System32\Vmk.exe
O4 - HKCU\..\Run: [Maq] C:\WINDOWS\Obb.exe
O4 - HKCU\..\Run: [Smq] C:\WINDOWS\Pno.exe
O4 - HKCU\..\Run: [Bsc] C:\WINDOWS\Vfv.exe
O4 - HKCU\..\Run: [Blv] C:\WINDOWS\System32\Iec.exe
O4 - HKCU\..\Run: [Reb] C:\WINDOWS\Sit.exe
O4 - HKCU\..\Run: [Edf] C:\WINDOWS\System32\Bcs.exe
O4 - HKCU\..\Run: [Qre] C:\WINDOWS\Buq.exe
O4 - HKCU\..\Run: [Jsm] C:\WINDOWS\Deb.exe
O4 - HKCU\..\Run: [Khn] C:\WINDOWS\Feo.exe
O4 - HKCU\..\Run: [Hob] C:\WINDOWS\Trb.exe
O4 - HKCU\..\Run: [Ahi] C:\WINDOWS\Opp.exe
O4 - HKCU\..\Run: [Hbe] C:\WINDOWS\Irb.exe
O4 - HKCU\..\Run: [Kcq] C:\WINDOWS\System32\Vcr.exe
O4 - HKCU\..\Run: [Dnl] C:\WINDOWS\Gds.exe
O4 - HKCU\..\Run: [Tea] C:\WINDOWS\system32\Qqt.exe
O4 - HKCU\..\Run: [Jud] C:\WINDOWS\Rvo.exe
O4 - HKCU\..\Run: [Akd] C:\WINDOWS\Nhk.exe
O4 - HKCU\..\Run: [Vhr] C:\WINDOWS\Fgr.exe
O4 - HKCU\..\Run: [Ign] C:\WINDOWS\Gpq.exe
O4 - HKCU\..\Run: [Pda] C:\WINDOWS\system32\Hek.exe
O4 - HKCU\..\Run: [Emb] C:\WINDOWS\Ckf.exe
O4 - HKCU\..\Run: [Qtf] C:\WINDOWS\system32\Lbu.exe
O4 - HKCU\..\Run: [Jbb] C:\WINDOWS\system32\Hbm.exe
O4 - HKCU\..\Run: [Tak] C:\WINDOWS\Kfv.exe
O4 - HKCU\..\Run: [Hre] C:\WINDOWS\system32\Pnv.exe
O4 - Startup: winupdate47896523[1].exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O18 - Filter: text/html - {EB7CE88B-E502-4EA2-8549-175CD18E81AC} - C:\WINDOWS\system32\ljee.dll
O18 - Filter: text/plain - {EB7CE88B-E502-4EA2-8549-175CD18E81AC} - C:\WINDOWS\system32\ljee.dll

Make sure all
other windows and browsers are closed before clicking on Fix Checked.



Now, start APM.
In the upper window select explorer.exe
In the lower window find and rightclick C:\WINDOWS\System32\ljee.dll

It is the 02 BHO entry with no description, in case it has changed names. It is not tied to any program you recognize.

currently it is :- O2 - BHO: (no name) - {F27F04C6-5D82-414C-9F80-29607652F9E5} - C:\WINDOWS\system32\ljee.dll
Select Unload DLL, and click OK on the prompts that follow.


please download :-

http://www.derbilk.de/SpSeHjfix_Beta6.zip

save it to your desktop.

Start SpSeHjfix_Beta6.exe click on " start disinfection"
then it will reboot and finish the cleaning.



Reboot and scan with AdAware to automatically remove the txt and html protocol associations and to clean up the remnants of the hijack.

Run Adaware with the following settings:


Download Ad-aware Second Edition here and install it. If you already have Ad-aware Second Edition skip to the next step.

Open adaware and Click the "Check for updates now" line on the main screen. Click the "Connect" button on the webupdate screen.

If an update is available download it and install it. Click the "Finish" button to go back to the main screen.

Click on the "Settings" button (gear symbol in the upper right corner of the main status screen) in the quick launch toolbar to open the General settings screen. Check the "Automatically quarantine objects prior to removal" setting and then click "Proceed" to save your changes

Click the "Scan now" button in the main menu on the left side of the main status screen or use the "Start" button in lower right corner. This will open the Preparing System Scan screen. Please deselect "Search for negligible risk entries", as negligible risk entries (MRU's) are not considered to be a threat. Then select "Use custom scanning options" and click "CUstomize". This will open the "Scan Settings Page. Make sure all of the following are On with a "green" checkmark:

Scan within archives
Scan active processes
Scan Registry
Deep-scan Registry
Scan my IE Favorites for banned URLs
Scan my Hosts File

Then Click the Advanced Button on the left side to open the Advanced Settings screen. Make sure the following is on with a "green" checkmark:

Move deleted files to Recycle Bin

Others are optional to be checked or unchecked.

Then click on the "Tweak" Button to open up the tweak settings.

Open up the Scanning Engine section and make sure ll of the following are On with a "green" checkmark:

Scan registry for all users instead of current user only

Make sure the following is unchecked with a "red" X:

Unload recognized processes & modules during scan.

Open up the Cleaning Engine section and make sure all of the following are On with a "green" checkmark:

Always try to unload modules before deletion
During Removal, unload Explorer and IE if necessary
Let Windows remove files in use at next reboot.

Click the "Proceed" button to save settings.

Click the "Next" button to start the scan.

When a scan is completed the Performing System Scan screen will change name to "Scan Complete".

Click the "Next" button to get to the Scanning Results screens where more information about the objects detected during the scan is available.

Click the Critical Objects Tab. In general all of the items listed will be bad. Be carefull with the Hosts file entries. Malware uses the hosts file to redirect you websites. However you can use the hosts file as a way to prevent malware. If the object has 127.0.0.1 in it, it should most likely not be deleted as it is protecting against unwanted sites. For more information on how to use a host file to protect yourself read here. So in short, you may or may not want to fix the hosts file entries.

To fix all the bad critical objects do the following:

Right click on one of them to open up the selection screen. Click the "Select All" button to select all entries. In general all should be selected with the exception of the good hosts file entries.

When all are selected Click "Next" and then "OK" in the pop-up window to confirm the removal.

Close Ad-aware.

If Ad-Aware needs to reboot to finish cleaning, please let it.


Please run the following online scan and let it fix everything it finds:

HOUSECALL

Then :-

Download and run
COOLWEBSHREDDER.EXE(standalone version)

Click Fix, don't just scan. Let it fix everything it asks about.

then reboot and post a fresh HJT log.

Edited by bricat, 13 March 2005 - 12:39 PM.


#9 Zack

Zack
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 13 March 2005 - 03:17 PM

ok. thanks again for all your help. i can't tell you how much i appreciate it!!
when i followed your instructions here's what happened:
After running APM it said:'Failed to obtain a handle to ljee.dll'
however it seemed to erase it.
then, the link to www.derbilk.de/SpSeHjfix_Beta6.zip doesn't exist anymore, but i had already had SpHjfix.exe on my computer and i used it.
i don't know if these things make a difference, but in case they do i mentioned them.
here's my latest log after following your instructions:
please let me know if i'm ok now. thanks again!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\dvd43\dvd43_tray.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\Epv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\open32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\sony\click to dvd\ctdatsvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Zachary Goldberg\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Cqr] C:\WINDOWS\system32\Asd.exe
O4 - HKLM\..\Run: [Hfo] C:\WINDOWS\system32\Hsn.exe
O4 - HKLM\..\Run: [Aek] C:\WINDOWS\system32\Epv.exe
O4 - HKLM\..\Run: [Qna] C:\WINDOWS\Snj.exe
O4 - HKLM\..\Run: [Nch] C:\WINDOWS\Ece.exe
O4 - HKLM\..\Run: [Jnh] C:\WINDOWS\Tqc.exe
O4 - HKLM\..\Run: [Hmv] C:\WINDOWS\system32\Urg.exe
O4 - HKLM\..\Run: [Pab] C:\WINDOWS\system32\Fho.exe
O4 - HKLM\..\Run: [Jmh] C:\WINDOWS\system32\Qqm.exe
O4 - HKLM\..\Run: [Kvv] C:\WINDOWS\system32\Dqg.exe
O4 - HKLM\..\Run: [Njj] C:\WINDOWS\Tpf.exe
O4 - HKLM\..\Run: [Opf] C:\WINDOWS\Tvp.exe
O4 - HKLM\..\Run: [Pbq] C:\WINDOWS\system32\Dbm.exe
O4 - HKLM\..\Run: [Fua] C:\WINDOWS\Hsg.exe
O4 - HKLM\..\Run: [Tki] C:\WINDOWS\system32\Ulp.exe
O4 - HKLM\..\Run: [Gde] C:\WINDOWS\Ois.exe
O4 - HKLM\..\Run: [Ice] C:\WINDOWS\system32\Nla.exe
O4 - HKLM\..\Run: [Tfo] C:\WINDOWS\Avb.exe
O4 - HKLM\..\Run: [Vfr] C:\WINDOWS\Sag.exe
O4 - HKLM\..\Run: [Dlm] C:\WINDOWS\Oau.exe
O4 - HKLM\..\Run: [Hil] C:\WINDOWS\system32\Vvo.exe
O4 - HKLM\..\Run: [Bov] C:\WINDOWS\system32\Qhb.exe
O4 - HKLM\..\Run: [Sat] C:\WINDOWS\Nfp.exe
O4 - HKLM\..\Run: [Bgo] C:\WINDOWS\system32\Kag.exe
O4 - HKLM\..\Run: [Kqo] C:\WINDOWS\Aqs.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Gqq] C:\WINDOWS\Rqp.exe
O4 - HKLM\..\Run: [Ood] C:\WINDOWS\Fpk.exe
O4 - HKLM\..\Run: [Ith] C:\WINDOWS\Pig.exe
O4 - HKLM\..\Run: [Cre] C:\WINDOWS\system32\Rbf.exe
O4 - HKLM\..\Run: [Trj] C:\WINDOWS\Ofv.exe
O4 - HKLM\..\Run: [Jet] C:\WINDOWS\system32\Ehg.exe
O4 - HKLM\..\Run: [Ilf] C:\WINDOWS\system32\Adf.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Cqr] C:\WINDOWS\system32\Asd.exe
O4 - HKCU\..\Run: [Hfo] C:\WINDOWS\system32\Hsn.exe
O4 - HKCU\..\Run: [Aek] C:\WINDOWS\system32\Epv.exe
O4 - HKCU\..\Run: [Qna] C:\WINDOWS\Snj.exe
O4 - HKCU\..\Run: [Nch] C:\WINDOWS\Ece.exe
O4 - HKCU\..\Run: [Jnh] C:\WINDOWS\Tqc.exe
O4 - HKCU\..\Run: [Hmv] C:\WINDOWS\system32\Urg.exe
O4 - HKCU\..\Run: [Pab] C:\WINDOWS\system32\Fho.exe
O4 - HKCU\..\Run: [Jmh] C:\WINDOWS\system32\Qqm.exe
O4 - HKCU\..\Run: [Kvv] C:\WINDOWS\system32\Dqg.exe
O4 - HKCU\..\Run: [Njj] C:\WINDOWS\Tpf.exe
O4 - HKCU\..\Run: [Opf] C:\WINDOWS\Tvp.exe
O4 - HKCU\..\Run: [Pbq] C:\WINDOWS\system32\Dbm.exe
O4 - HKCU\..\Run: [Fua] C:\WINDOWS\Hsg.exe
O4 - HKCU\..\Run: [Tki] C:\WINDOWS\system32\Ulp.exe
O4 - HKCU\..\Run: [Gde] C:\WINDOWS\Ois.exe
O4 - HKCU\..\Run: [Ice] C:\WINDOWS\system32\Nla.exe
O4 - HKCU\..\Run: [Tfo] C:\WINDOWS\Avb.exe
O4 - HKCU\..\Run: [Vfr] C:\WINDOWS\Sag.exe
O4 - HKCU\..\Run: [Dlm] C:\WINDOWS\Oau.exe
O4 - HKCU\..\Run: [Hil] C:\WINDOWS\system32\Vvo.exe
O4 - HKCU\..\Run: [Bov] C:\WINDOWS\system32\Qhb.exe
O4 - HKCU\..\Run: [Sat] C:\WINDOWS\Nfp.exe
O4 - HKCU\..\Run: [Bgo] C:\WINDOWS\system32\Kag.exe
O4 - HKCU\..\Run: [Kqo] C:\WINDOWS\Aqs.exe
O4 - HKCU\..\Run: [Gqq] C:\WINDOWS\Rqp.exe
O4 - HKCU\..\Run: [Ood] C:\WINDOWS\Fpk.exe
O4 - HKCU\..\Run: [Ith] C:\WINDOWS\Pig.exe
O4 - HKCU\..\Run: [Cre] C:\WINDOWS\system32\Rbf.exe
O4 - HKCU\..\Run: [Trj] C:\WINDOWS\Ofv.exe
O4 - HKCU\..\Run: [Jet] C:\WINDOWS\system32\Ehg.exe
O4 - HKCU\..\Run: [Ilf] C:\WINDOWS\system32\Adf.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Startprogramm fr Click to DVD-Automatikmodus.lnk = C:\Programme\sony\click to dvd\ctdatsvr.exe
O4 - Startup: winupdate47896523[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 櫬nliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} (Corporate Language Training Interface) - http://www.cltnet.de/login/dplaunch.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {36CCC774-0BB0-4141-8C23-7BA0F6829276} (dp Launcher Control) - http://www.cltnet.de/dpLauncher.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

#10 bricat

bricat

  • Members
  • 205 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:02:34 PM

Posted 13 March 2005 - 03:32 PM

ok we are chipping away at it slowly. but we are getting there. :thumbsup:

now comes the hard part. you are going to have to delete these files from their respective directories. print these instructions out to make it easier.

any you are not sure of ,leave them.

boot up in SAFE MODE

then navigate to and delete these files in BOLD


C:\WINDOWS\system32\Adf.exe << This file
C:\WINDOWS\system32\Ehg.exe << This file
C:\WINDOWS\Ofv.exe << This file
C:\WINDOWS\system32\Rbf.exe << This file
C:\WINDOWS\Pig.exe << This file
C:\WINDOWS\Fpk.exe << This file
C:\WINDOWS\Rqp.exe << This file
C:\WINDOWS\Aqs.exe << This file
C:\WINDOWS\system32\Kag.exe << This file
C:\WINDOWS\Nfp.exe << This file
C:\WINDOWS\system32\Qhb.exe << This file
C:\WINDOWS\system32\Vvo.exe << This file
C:\WINDOWS\Oau.exe << This file
C:\WINDOWS\Sag.exe << This file
C:\WINDOWS\Avb.exe << This file
C:\WINDOWS\system32\Nla.exe << This file
C:\WINDOWS\Ois.exe << This file
C:\WINDOWS\system32\Ulp.exe << This file
C:\WINDOWS\Hsg.exe << This file
C:\WINDOWS\system32\Dbm.exe << This file
C:\WINDOWS\Tvp.exe << This file
C:\WINDOWS\Tpf.exe << This file
C:\WINDOWS\system32\Dqg.exe << This file
C:\WINDOWS\system32\Qqm.exe << This file
C:\WINDOWS\system32\Fho.exe << This file
C:\WINDOWS\system32\Urg.exe << This file
C:\WINDOWS\Tqc.exe << This file
C:\WINDOWS\Ece.exe << This file
C:\WINDOWS\Snj.exe << This file
C:\WINDOWS\system32\Epv.exe << This file
C:\WINDOWS\system32\Hsn.exe << This file
C:\WINDOWS\system32\Asd.exe << This file
C:\WINDOWS\system32\Adf.exe << This file
C:\WINDOWS\system32\Ehg.exe << This file
C:\WINDOWS\Ofv.exe << This file
C:\WINDOWS\system32\Rbf.exe << This file
C:\WINDOWS\Pig.exe << This file
C:\WINDOWS\Fpk.exe << This file
C:\WINDOWS\Rqp.exe << This file
* open32.exe << This file <locate via search
C:\WINDOWS\Aqs.exe << This file
C:\WINDOWS\system32\Kag.exe << This file
C:\WINDOWS\Nfp.exe << This file
C:\WINDOWS\system32\Qhb.exe << This file
C:\WINDOWS\system32\Vvo.exe << This file
C:\WINDOWS\Oau.exe << This file
C:\WINDOWS\Sag.exe << This file
C:\WINDOWS\Avb.exe << This file
C:\WINDOWS\system32\Nla.exe << This file
C:\WINDOWS\Ois.exe << This file
C:\WINDOWS\system32\Ulp.exe << This file
C:\WINDOWS\Hsg.exe << This file
C:\WINDOWS\system32\Dbm.exe << This file
C:\WINDOWS\Tvp.exe << This file
C:\WINDOWS\Tpf.exe << This file
C:\WINDOWS\system32\Dqg.exe << This file
C:\WINDOWS\system32\Qqm.exe << This file
C:\WINDOWS\system32\Fho.exe << This file
C:\WINDOWS\system32\Urg.exe << This file
C:\WINDOWS\Tqc.exe << This file
C:\WINDOWS\Ece.exe << This file
C:\WINDOWS\Snj.exe << This file
C:\WINDOWS\system32\Epv.exe << This file
C:\WINDOWS\system32\Hsn.exe << This file
C:\WINDOWS\system32\Asd.exe << This file


then reboot and post a fresh Hijackthis log.

#11 Zack

Zack
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 14 March 2005 - 01:51 PM

hi. i had to go to work, which is why i'm sending this now. i went in and deleted all the things you said to delete, but after the reboot, it looks like they all came back. here's the latest log:

of HijackThis v1.98.2
Scan saved at 7:47:50 PM, on 3/14/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\dvd43\dvd43_tray.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\Urg.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\sony\click to dvd\ctdatsvr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Zachary Goldberg\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\en-xu\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\en-xu\msnappau.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Cqr] C:\WINDOWS\system32\Asd.exe
O4 - HKLM\..\Run: [Hfo] C:\WINDOWS\system32\Hsn.exe
O4 - HKLM\..\Run: [Aek] C:\WINDOWS\system32\Epv.exe
O4 - HKLM\..\Run: [Qna] C:\WINDOWS\Snj.exe
O4 - HKLM\..\Run: [Nch] C:\WINDOWS\Ece.exe
O4 - HKLM\..\Run: [Jnh] C:\WINDOWS\Tqc.exe
O4 - HKLM\..\Run: [Hmv] C:\WINDOWS\system32\Urg.exe
O4 - HKLM\..\Run: [Pab] C:\WINDOWS\system32\Fho.exe
O4 - HKLM\..\Run: [Jmh] C:\WINDOWS\system32\Qqm.exe
O4 - HKLM\..\Run: [Kvv] C:\WINDOWS\system32\Dqg.exe
O4 - HKLM\..\Run: [Njj] C:\WINDOWS\Tpf.exe
O4 - HKLM\..\Run: [Opf] C:\WINDOWS\Tvp.exe
O4 - HKLM\..\Run: [Pbq] C:\WINDOWS\system32\Dbm.exe
O4 - HKLM\..\Run: [Fua] C:\WINDOWS\Hsg.exe
O4 - HKLM\..\Run: [Tki] C:\WINDOWS\system32\Ulp.exe
O4 - HKLM\..\Run: [Gde] C:\WINDOWS\Ois.exe
O4 - HKLM\..\Run: [Ice] C:\WINDOWS\system32\Nla.exe
O4 - HKLM\..\Run: [Tfo] C:\WINDOWS\Avb.exe
O4 - HKLM\..\Run: [Vfr] C:\WINDOWS\Sag.exe
O4 - HKLM\..\Run: [Dlm] C:\WINDOWS\Oau.exe
O4 - HKLM\..\Run: [Hil] C:\WINDOWS\system32\Vvo.exe
O4 - HKLM\..\Run: [Bov] C:\WINDOWS\system32\Qhb.exe
O4 - HKLM\..\Run: [Sat] C:\WINDOWS\Nfp.exe
O4 - HKLM\..\Run: [Bgo] C:\WINDOWS\system32\Kag.exe
O4 - HKLM\..\Run: [Kqo] C:\WINDOWS\Aqs.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Gqq] C:\WINDOWS\Rqp.exe
O4 - HKLM\..\Run: [Ood] C:\WINDOWS\Fpk.exe
O4 - HKLM\..\Run: [Ith] C:\WINDOWS\Pig.exe
O4 - HKLM\..\Run: [Cre] C:\WINDOWS\system32\Rbf.exe
O4 - HKLM\..\Run: [Trj] C:\WINDOWS\Ofv.exe
O4 - HKLM\..\Run: [Jet] C:\WINDOWS\system32\Ehg.exe
O4 - HKLM\..\Run: [Ilf] C:\WINDOWS\system32\Adf.exe
O4 - HKLM\..\Run: [Osr] C:\WINDOWS\Fej.exe
O4 - HKLM\..\Run: [Var] C:\WINDOWS\system32\Ogg.exe
O4 - HKLM\..\Run: [Hec] C:\WINDOWS\system32\Phe.exe
O4 - HKLM\..\Run: [Rfl] C:\WINDOWS\system32\Mgf.exe
O4 - HKLM\..\Run: [Dhl] C:\WINDOWS\Cno.exe
O4 - HKLM\..\Run: [Jif] C:\WINDOWS\system32\Dgt.exe
O4 - HKLM\..\Run: [Tde] C:\WINDOWS\system32\Bht.exe
O4 - HKLM\..\Run: [Lnl] C:\WINDOWS\system32\Rtu.exe
O4 - HKLM\..\Run: [Ooc] C:\WINDOWS\Rmq.exe
O4 - HKLM\..\Run: [Tmn] C:\WINDOWS\system32\Iko.exe
O4 - HKLM\..\Run: [Gds] C:\WINDOWS\system32\Nlb.exe
O4 - HKLM\..\Run: [Slt] C:\WINDOWS\system32\Vqg.exe
O4 - HKLM\..\Run: [Tjq] C:\WINDOWS\Flt.exe
O4 - HKLM\..\Run: [Iam] C:\WINDOWS\Rbh.exe
O4 - HKLM\..\Run: [Qnk] C:\WINDOWS\Eup.exe
O4 - HKLM\..\Run: [Qsj] C:\WINDOWS\system32\Frd.exe
O4 - HKLM\..\Run: [Tcg] C:\WINDOWS\system32\Doo.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Cqr] C:\WINDOWS\system32\Asd.exe
O4 - HKCU\..\Run: [Hfo] C:\WINDOWS\system32\Hsn.exe
O4 - HKCU\..\Run: [Aek] C:\WINDOWS\system32\Epv.exe
O4 - HKCU\..\Run: [Qna] C:\WINDOWS\Snj.exe
O4 - HKCU\..\Run: [Nch] C:\WINDOWS\Ece.exe
O4 - HKCU\..\Run: [Jnh] C:\WINDOWS\Tqc.exe
O4 - HKCU\..\Run: [Hmv] C:\WINDOWS\system32\Urg.exe
O4 - HKCU\..\Run: [Pab] C:\WINDOWS\system32\Fho.exe
O4 - HKCU\..\Run: [Jmh] C:\WINDOWS\system32\Qqm.exe
O4 - HKCU\..\Run: [Kvv] C:\WINDOWS\system32\Dqg.exe
O4 - HKCU\..\Run: [Njj] C:\WINDOWS\Tpf.exe
O4 - HKCU\..\Run: [Opf] C:\WINDOWS\Tvp.exe
O4 - HKCU\..\Run: [Pbq] C:\WINDOWS\system32\Dbm.exe
O4 - HKCU\..\Run: [Fua] C:\WINDOWS\Hsg.exe
O4 - HKCU\..\Run: [Tki] C:\WINDOWS\system32\Ulp.exe
O4 - HKCU\..\Run: [Gde] C:\WINDOWS\Ois.exe
O4 - HKCU\..\Run: [Ice] C:\WINDOWS\system32\Nla.exe
O4 - HKCU\..\Run: [Tfo] C:\WINDOWS\Avb.exe
O4 - HKCU\..\Run: [Vfr] C:\WINDOWS\Sag.exe
O4 - HKCU\..\Run: [Dlm] C:\WINDOWS\Oau.exe
O4 - HKCU\..\Run: [Hil] C:\WINDOWS\system32\Vvo.exe
O4 - HKCU\..\Run: [Bov] C:\WINDOWS\system32\Qhb.exe
O4 - HKCU\..\Run: [Sat] C:\WINDOWS\Nfp.exe
O4 - HKCU\..\Run: [Bgo] C:\WINDOWS\system32\Kag.exe
O4 - HKCU\..\Run: [Kqo] C:\WINDOWS\Aqs.exe
O4 - HKCU\..\Run: [Gqq] C:\WINDOWS\Rqp.exe
O4 - HKCU\..\Run: [Ood] C:\WINDOWS\Fpk.exe
O4 - HKCU\..\Run: [Ith] C:\WINDOWS\Pig.exe
O4 - HKCU\..\Run: [Cre] C:\WINDOWS\system32\Rbf.exe
O4 - HKCU\..\Run: [Trj] C:\WINDOWS\Ofv.exe
O4 - HKCU\..\Run: [Jet] C:\WINDOWS\system32\Ehg.exe
O4 - HKCU\..\Run: [Ilf] C:\WINDOWS\system32\Adf.exe
O4 - HKCU\..\Run: [Osr] C:\WINDOWS\Fej.exe
O4 - HKCU\..\Run: [Var] C:\WINDOWS\system32\Ogg.exe
O4 - HKCU\..\Run: [Hec] C:\WINDOWS\system32\Phe.exe
O4 - HKCU\..\Run: [Rfl] C:\WINDOWS\system32\Mgf.exe
O4 - HKCU\..\Run: [Dhl] C:\WINDOWS\Cno.exe
O4 - HKCU\..\Run: [Jif] C:\WINDOWS\system32\Dgt.exe
O4 - HKCU\..\Run: [Tde] C:\WINDOWS\system32\Bht.exe
O4 - HKCU\..\Run: [Lnl] C:\WINDOWS\system32\Rtu.exe
O4 - HKCU\..\Run: [Ooc] C:\WINDOWS\Rmq.exe
O4 - HKCU\..\Run: [Tmn] C:\WINDOWS\system32\Iko.exe
O4 - HKCU\..\Run: [Gds] C:\WINDOWS\system32\Nlb.exe
O4 - HKCU\..\Run: [Slt] C:\WINDOWS\system32\Vqg.exe
O4 - HKCU\..\Run: [Tjq] C:\WINDOWS\Flt.exe
O4 - HKCU\..\Run: [Iam] C:\WINDOWS\Rbh.exe
O4 - HKCU\..\Run: [Qnk] C:\WINDOWS\Eup.exe
O4 - HKCU\..\Run: [Qsj] C:\WINDOWS\system32\Frd.exe
O4 - HKCU\..\Run: [Tcg] C:\WINDOWS\system32\Doo.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Startprogramm fr Click to DVD-Automatikmodus.lnk = C:\Programme\sony\click to dvd\ctdatsvr.exe
O4 - Startup: winupdate47896523[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader supervisory.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 櫬nliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} (Corporate Language Training Interface) - http://www.cltnet.de/login/dplaunch.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {36CCC774-0BB0-4141-8C23-7BA0F6829276} (dp Launcher Control) - http://www.cltnet.de/dpLauncher.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

#12 bricat

bricat

  • Members
  • 205 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:02:34 PM

Posted 14 March 2005 - 01:56 PM

Download GET SERVICE ZIP


Extract it to a new folder in the desktop. Double click on the Getservice.bat file to run it. This will create and open a text file named getservice.txt in the same folder. It will then open getservice.txt for you.
getservice.txt will list all active Services. Copy and paste the contents of getservice.txt in your next reply here.

#13 Zack

Zack
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 14 March 2005 - 04:12 PM

i kept getting hijacked again after everything came back. the only way i was able to get online again, was by going into Windows/System 32 and deleting anything with the date from the past 3 or 4 days. i am more than willing to continue going with you, but if you think i need to erase the hard drive, let me know how to do that. thanks again!!!

here's the list:
PsService v1.1 - local and remote services viewer/controller
Copyright © 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: Alerter
Benachrichtigt bestimmte Benutzer und Computer bezglich administrativer Warnungen. Falls der Dienst beendet wird, k霵nen Programme, die administrative Warnungen verwenden, diese Warnungen nicht mehr empfangen. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Warndienst
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: ALG
Bietet Untersttzung fr Protokoll-Plug-Ins von Drittanbietern fr die gemeinsame Nutzung der Internetverbindung und den Windows-Firewall.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Gatewaydienst auf Anwendungsebene
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: AntiVirService
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\AVPersonal\AVGUARD.EXE
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AntiVir Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AppMgmt
Bietet Softwareinstallationsdienste wie Zuweisung, Ver鐪fentlichung, und Deinstallation.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Anwendungsverwaltung
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Ati HotKey Poller
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\Ati2evxx.exe
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Ati HotKey Poller
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AudioSrv
Verwaltet Audioger酹e fr Windows-basierte Programme. Wenn dieser Dienst beendet wird, werden Audioger酹e und -effekte nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : AudioGroup
TAG : 0
DISPLAY_NAME : Windows Audio
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AVWUpSrv
Helpservice of AntiVir Personal Edition.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Programme\AVPersonal\AVWUPSRV.EXE"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AntiVir Update
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: BITS
鈁ertr輍t Dateien im Hintergrund unter Verwendung von sich in Leerlauf befindender Netzwerkbandbreite. Falls dieser Dienst beendet wird, k霵nen Funktionen wie Windows Update und MSN Explorer Programme und andere Informationen nicht automatisch bertragen. Durch Deaktivieren dieses Dienstes, k霵nen von diesem Dienst ausschlie羦ich abh鄚gige Dienste m鐷licherweise Dateien nicht fehlerfrei bertragen, wenn die Dienste nicht ber einen Sicherungsmechanismus fr die Dateibertragung ber IE bei Deaktivierung v
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Intelligenter Hintergrundbertragungsdienst
DEPENDENCIES : Rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: Browser
Fhrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem ausschlie羦ich Dienst abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Computerbrowser
DEPENDENCIES : LanmanWorkstation
: LanmanServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: C-DillaCdaC11BA
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\drivers\CDAC11BA.EXE
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : C-DillaCdaC11BA
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccEvtMgr
Symantec Event Manager
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Event Manager
DEPENDENCIES : RPCSS
: ccSetMgr
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccProxy
Symantec Proxy Service
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Network Proxy
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccPwdSvc
Symantec Password Validation Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Password Validation
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccSetMgr
Symantec Settings Manager
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Settings Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: CiSvc
Indiziert Dateiinhalt und -eigenschaften auf lokalen und Remotecomputer und bietet schnellen Dateizugriff durch eine flexible Abfragesprache.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\cisvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Indexdienst
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ClipSrv
Erm鐷licht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen k霵nen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Ablagemappe
DEPENDENCIES : NetDDE
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: COMSysApp
Verwaltet die Komponentenkonfiguration und -berwachung von COM+-basierten Komponenten. Nach dem Beenden des Dienstes sind die meisten COM+-basierten Komponenten nicht ordnungsgem魠 funktionsf鄣ig. Nach dem Deaktivieren dieses Dienstes werden alle Dienste nicht gestartet, die explizit auf diesem Dienst basieren.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : COM+-Systemanwendung
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 30 seconds
FAILURE_ACTIONS : Restart DELAY: 1000 seconds
: Restart DELAY: 5000 seconds
: None DELAY: 1000 seconds

SERVICE_NAME: CryptSvc
Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien best酹igt; den Dienst fr geschtzten Stammspeicher, der Zertifikate vertrauenswrdiger Stammzertifizierungsstellen zu diesem Computer hinzufgt und entfernt und den Schlsseldienst, der diesen Computer bei Einschreibungen in Zertifikate untersttzt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Kryptografiedienste
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: DcomLaunch
Bietet Startfunktionalit酹 fr DCOM-Dienste.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k DcomLaunch
LOAD_ORDER_GROUP : Event Log
TAG : 0
DISPLAY_NAME : DCOM-Server-Prozessstart
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds

SERVICE_NAME: DFSVC
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Dialerschutz Dienst
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dhcp
Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DHCP-Client
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: DJSNETCN
Symantec Licensing Detect Internet Connection
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Licensing Detect Internet Connection
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmadmin
Konfiguriert Festplattenlaufwerke und -volumes. Dieser Dienst wird nur zu Konfigurationszwecken ausgefhrt und anschlie絽nd beendet.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltungsdienst fr die Verwaltung logischer Datentr輍er
DEPENDENCIES : RpcSs
: PlugPlay
: DmServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmserver
Erkennt und berwacht neue Festplattenlaufwerke und sendet Festplatteninformationen zur Konfiguration an den Verwaltungsdienst fr die Verwaltung logischer Datentr輍er. Wenn dieser Dienst beendet wird, k霵nen Statusinformationen fr dynamische Festplatten und Konfigurationsinformationen veraltet oder ungltig werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltung logischer Datentr輍er
DEPENDENCIES : RpcSs
: PlugPlay
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dnscache
Wertet DNS-Namen (Domain Name System) fr diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen aufl飉en und Active Directory-Dom鄚encontroller ermitteln. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DNS-Client
DEPENDENCIES : Tcpip
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: ERSvc
Erm鐷licht die Fehlerberichterstattung fr Dienste und Anwendungen, die in nicht standardgem魠en Umgebungen ausgefhrt werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Fehlerberichterstattungsdienst
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Eventlog
Erm鐷licht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Ereignisprotokoll
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: EventSystem
Untersttzt den Systemereignis-Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM-Komponenten zur Verfgung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfgung zu stellen. Wenn der Dienst deaktiviert ist, k霵nen abh鄚gige Dienste nicht gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : COM+-Ereignissystem
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: FastUserSwitchingCompatibility
Bietet Verwaltung fr Anwendungen, die Untersttzung in einer Mehrbenutzerumgebung erfordern.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Kompatibilit酹 fr schnelle Benutzerumschaltung
DEPENDENCIES : TermService
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: helpsvc
Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verfgbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Hilfe und Support
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds

SERVICE_NAME: HidServ
Erm鐷licht einen Standardeingabezugang fr Eingabeger酹e (HID-Ger酹e), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediager酹en aktiviert und untersttzt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Eingabeger酹ezugang
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: HTTPFilter
Implementiert das Secure HyperText Transfer-Protokoll (HTTPS) fr den HTTP-Dienst unter Verwendung des Secure Socket Layers (SSL). Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k HTTPFilter
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : HTTP-SSL
DEPENDENCIES : HTTP
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ImapiService
Verwaltet das Aufnehmen von CDs mit IMAPI (Image Mastering Applications Programming Interface). Auf diesem Computer k霵nen keine CDs aufgenommen werden, wenn dieser Dienst angehalten wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IMAPI-CD-Brenn-COM-Dienste
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ISSVC
Internet Security Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\Programme\Norton Personal Firewall\ISSVC.exe
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : ISSvc
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanserver
Untersttzt Datei-, Drucker- und Named-Piped-Freigabe fr diesen Computer ber das Netzwerk. Diese Funktionen sind nicht mehr verfgbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Server
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanworkstation
Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfgbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Arbeitsstationsdienst
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: LmHosts
Erm鐷licht die Untersttzung vom NetBIOS-ber-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensaufl飉ung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : TCP/IP-NetBIOS-Hilfsprogramm
DEPENDENCIES : NetBT
: Afd
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Messenger
鈁ertr輍t NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst bertr輍t keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Nachrichtendienst
DEPENDENCIES : LanmanWorkstation
: NetBIOS
: PlugPlay
: RpcSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: mnmsrvc
Erm鐷licht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit NetMeeting ber ein Firmenintranet zuzugreifen. Wenn dieser Dienst beendet wird, ist die Remotedesktopfreigabe nicht mehr verfgbar. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NetMeeting-Remotedesktop-Freigabe
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSDTC
Koordiniert Transaktionen, die sich ber mindestens zwei Ressourcenverwaltungen wie Datenbanken, Nachrichtenwarteschlangen oder Dateisysteme erstrecken. Wenn der Dienst beendet ist, treten diese Transaktionen nicht auf. Wenn der Dienst deaktiviert ist, k霵nen abh鄚gige Dienste nicht gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe
LOAD_ORDER_GROUP : MS Transactions
TAG : 0
DISPLAY_NAME : Distributed Transaction Coordinator
DEPENDENCIES : RPCSS
: SamSS
SERVICE_START_NAME: NT Authority\NetworkService

SERVICE_NAME: MSIServer
Fgt Anwendungen, die als ein Windows Installer-Paket (*.msi) angeboten werden, hinzu bzw. 鄚dert oder entfernt sie. Wenn dieser Dienst deaktiviert ist, k霵nen alle Dienste, die explizit davon abh鄚gen, nicht gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msiexec.exe /V
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Installer
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDE
Erm鐷licht Netzwerktransport und Sicherheit fr den dynamischen Datenaustausch (DDE) von Programmen, die auf dem gleichen Computer oder auf verschiedenen Computern ausgefhrt werden. Wenn dieser Dienst beendet wird, wird der DDE-Transport und die DDE-Sicherheit nicht mehr zur Verfgung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP : NetDDEGroup
TAG : 0
DISPLAY_NAME : Netzwerk-DDE-Dienst
DEPENDENCIES : NetDDEDSDM
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDEdsdm
Verwaltet DDE-Netzwerkfreigaben (Dynamic Data Exchange=Dynamischer Datenaustausch). Wenn dieser Dienst beendet wird, werden keine DDE-Netzwerkfreigaben mehr zur Verfgung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerk-DDE-Serverdienst
DEPENDENCIES :
: EGrLocalSystem
: Netzwerk-DDE-Serverdienst
: DE-Dienst
: ice
: Distributed Transaction Coordinator
: er Datentr輍er
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netlogon
Untersttzt Durchsatzauthentifizierung von Kontoanmeldungsereignissen fr Computer in einer Dom鄚e.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP : RemoteValidation
TAG : 0
DISPLAY_NAME : Anmeldedienst
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netman
Verwaltet Objekte im Ordner 'Netzwerk- und DF-Verbindungen' , in dem sowohl LAN-, als auch WAN-Verbindungen angezeigt werden.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerkverbindungen
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Nla
Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt Anwendungen, wenn diese Informationen sich 鄚dern.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NLA (Network Location Awareness)
DEPENDENCIES : Tcpip
: Afd
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtLmSsp
Bietet Sicherheit fr Remoteprozeduraufrufe (RPC), die andere Transportwege als Named Pipes verwenden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NT-LM-Sicherheitsdienst
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtmsSvc
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Wechselmedien
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PACSPTISVR
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : PACSPTISVR
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PlugPlay
Erm鐷licht dem Computer, Hardware鄚derungen zu erkennen und sich ohne oder mit geringer Benutzerinteraktion darauf einzustellen. Beenden oder Deaktivieren dieses Dienstes wird die Systemstabilit酹 beeintr踄htigen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : PlugPlay
TAG : 0
DISPLAY_NAME : Plug & Play
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PolicyAgent
Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IPSEC-Dienste
DEPENDENCIES : RPCSS
: Tcpip
: IPSec
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ProtectedStorage
Bietet geschtzten Speicherplatz fr private Daten, wie z. B. private Schlssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Geschtzter Speicher
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasAuto
Erstellt eine Verbindung zu einem Remotenetzwerk, wenn ein Programm eine Remote-DNS- oder -NetBIOS-Adresse referenziert.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Verwaltung fr automatische RAS-Verbindung
DEPENDENCIES : RasMan
: Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasMan
Stellt eine Netzwerkverbindung her.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : RAS-Verbindungsverwaltung
DEPENDENCIES : Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RDSessMgr
Verwaltet und berwacht die Remoteuntersttzung. Die Remoteuntersttzung wird beim Beenden dieses Dienstes nicht verfgbar sein. Bevor Sie diesen Dienst beenden, schauen Sie sich die Registerkarte "Abh鄚gigkeiten" im Dialog "Eigenschaften" an.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sitzungs-Manager fr Remotedesktophilfe
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteAccess
Bietet Routingdienste in LAN- und WAN-Netzwerkumgebungen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Routing und RAS
DEPENDENCIES : RpcSS
: +NetBIOSGroup
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RpcLocator
Verwaltet die Datenbank fr den RPC-Namensdienst.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\locator.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : RPC-Locator
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: RpcSs
Endpunktzuordnung und andere verschiedene RPC-Dienste.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss
LOAD_ORDER_GROUP : COM Infrastructure
TAG : 0
DISPLAY_NAME : Remoteprozeduraufruf (RPC)
DEPENDENCIES :
SERVICE_START_NAME: NT Authority\NetworkService
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds

SERVICE_NAME: RSVP
Bietet Programmen und Systemsteuerungssymbolen, die QoS untersttzen, Installationsfunktionen zur Steuerung von Netzwerksignalen und lokalem Netzwerkverkehr.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\rsvp.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QoS-RSVP
DEPENDENCIES : TcpIp
: Afd
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SamSs
Speichert Sicherheitsinformationen fr lokale Benutzerkonten.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP : LocalValidation
TAG : 0
DISPLAY_NAME : Sicherheitskontenverwaltung
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SCardSvr
Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen k霵nen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
LOAD_ORDER_GROUP : SmartCardGroup
TAG : 0
DISPLAY_NAME : Smartcard
DEPENDENCIES : PlugPlay
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Schedule
Erm鐷licht einem Benutzer, automatische Vorg鄚ge auf diesem Computer zu konfigurieren und zu planen. Wenn dieser Dienst beendet wird, werden diese Vorg鄚ge nicht zu den geplanten Zeiten ausgefhrt werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : SchedulerGroup
TAG : 0
DISPLAY_NAME : Taskplaner
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: seclogon
Erm鐷licht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verfgung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sekund酺e Anmeldung
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SENS
Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au絽rdem COM+ Ereignissystembezieher von diesen Ereignissen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : Systemereignisbenachrichtigung
DEPENDENCIES : EventSystem
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SharedAccess
Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste fr die Netzwerkadressbersetzung, Adressierung, Namensaufl飉ung und Eindringsschutz.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
DEPENDENCIES : Netman
: WinMgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ShellHWDetection
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : ShellSvcGroup
TAG : 0
DISPLAY_NAME : Shellhardwareerkennung
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SNDSrvc
Symantec Network Drivers Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Network Drivers Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SPBBCSvc
Symantec SPBBC
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec SPBBCSvc
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Spooler
L輐t die Dateien in den Arbeitsspeicher, um sie sp酹er zu drucken.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe
LOAD_ORDER_GROUP : SpoolerGroup
TAG : 0
DISPLAY_NAME : Druckwarteschlange
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: SPTISRV
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sony SPTI Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: srservice
Fhrt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Systemwiederherstellungsdienst
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SSDPSRV
Aktiviert die Ermittlung von UPnP-Ger酹en auf Heimnetzwerken.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SSDP-Suchdienst
DEPENDENCIES : HTTP
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: stisvc
Bietet Bilderfassungsdienste fr Scanner und Kameras.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k imgsvc
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows-Bilderfassung (WIA)
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SwPrv
Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte Schattenkopien k霵nen nicht verwaltet werden, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{0BAAE40D-8252-4650-A87A-110DE10F4C23}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : MS Software Shadow Copy Provider
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Symantec Core LC
Symantec Core LC
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Core LC
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SymWSC
Symantec WMI Service
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SymWMI Service
DEPENDENCIES : winmgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SysmonLog
Sammelt basierend auf einem vorkonfigurierten Zeitplan Systemleistungsdaten vom lokalen oder von Remotecomputern und schreibt die Daten in ein Protokoll oder l飉t eine Warnung aus. Wenn dieser Dienst beendet wird, werden keine Leistungsinformationen mehr gesammelt. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Leistungsdatenprotokolle und Warnungen
DEPENDENCIES :
SERVICE_START_NAME: NT Authority\NetworkService

SERVICE_NAME: TapiSrv
Bietet Telefonie-API-Untersttzung (TAPI) fr Programme, die Telefonieger酹e steuern, sowie IP-basierte Sprachverbindungen am lokalen Computer und ber das LAN, auf Servern, die diesen Dienst ebenfalls ausfhren.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Telefonie
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TermService
Erm鐷licht mehreren Benutzern das Herstellen interaktiver Verbindungen mit anderen Computern, sowie das Anzeigen von Desktop und Anwendungen auf Remotecomputern. Terminaldienste bilden die Grundlage fr Remotedesktops (einschlie羦ich RD fr Administratoren), schnelle Benutzerumschaltung, Remoteuntersttzung und Terminalserver.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost -k DComLaunch
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Terminaldienste
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Themes
Stellt die Designverwaltung zur Verfgung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : UIGroup
TAG : 0
DISPLAY_NAME : Designs
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: TrkWks
H鄟t Verknpfungen fr NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdom鄚e aufrecht.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : 鈁erwachung verteilter Verknpfungen (Client)
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TSMService
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Programme\T-DSL SpeedManager\tsmsvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : TSMService
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: UMWdf
Aktiviert Windows-Benutzermodustreiber.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\wdfmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows User Mode Driver Framework
DEPENDENCIES : RpcSs
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: upnphost
Erm鐷licht es, den Computer als Host fr universelle Plug & Play-Ger酹e einzurichten.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Universeller Plug & Play-Ger酹ehost
DEPENDENCIES : SSDPSRV
: HTTP
SERVICE_START_NAME: NT AUTHORITY\LocalService
FAIL_RESET_PERIOD : -1 seconds
FAILURE_ACTIONS : Restart DELAY: 0 seconds

SERVICE_NAME: UPS
Verwaltet eine an den Computer angeschlossene unterbrechungsfreie Stromversorgung (USV).
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Unterbrechungsfreie Stromversorgung
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: VAIOMediaPlatform-MusicServer-AppServer
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : VAIO Media Music Server
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VAIOMediaPlatform-MusicServer-HTTP
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : VAIO Media Music Server (HTTP)
DEPENDENCIES : VAIOMediaPlatform-MusicServer-AppServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VAIOMediaPlatform-MusicServer-UPnP
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : VAIO Media Music Server (UPnP)
DEPENDENCIES : VAIOMediaPlatform-MusicServer-HTTP
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VAIOMediaPlatform-PhotoServer-AppServer
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : VAIO Media Photo Server
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VAIOMediaPlatform-PhotoServer-HTTP
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : VAIO Media Photo Server (HTTP)
DEPENDENCIES : VAIOMediaPlatform-PhotoServer-AppServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VAIOMediaPlatform-PhotoServer-UPnP
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : VAIO Media Photo Server (UPnP)
DEPENDENCIES : VAIOMediaPlatform-PhotoServer-AppServer
: VAIOMediaPlatform-PhotoServer-HTTP
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: VSS
Verwaltet und implementiert Volumeschattenkopien, die zu Sicherungs- und anderen Zwecken verwendet werden. Wenn dieser Dienst beendet wird, werden keine Schattenkopien fr Sicherungen verfgbar sein und die Sicherung kann eventuell fehlschlagen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Volumeschattenkopie
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: W32Time
Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datum- und Uhrzeitsynchronisierung nicht verfgbar. Wenn der Dienst deaktiviert wird, k霵nen alle anderen Dienste, die explizit davon abh鄚gen, nicht gestartet werden.


TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows-Zeitgeber
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 5 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: WebClient
Erm鐷licht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu ver鄚dern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfgung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh鄚gigen Dienste nicht gestartet werden k霵nen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Webclient
DEPENDENCIES : MRxDAV
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: winmgmt
Bietet eine standardm魠ige Schnittstelle und Objektmodell zum Zugreifen auf Verwaltungsinformationen ber das Betriebssystem, Ger酹e, Anwendungen und Dienste. Die meiste Windows-basierte Software kann nicht ordnungsgem魠 ausgefhrt werden, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k霵nen die Dienste, die von diesem Dienst ausschlie羦ich abh鄚gig sind, nicht mehr gestartet werden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows-Verwaltungsinstrumentation
DEPENDENCIES : RPCSS
: Eventlog
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: WmdmPmSN
Ruft die Seriennummer aller tragbaren Player fr Medien ab, die mit diesem Computer verbunden sind. Wenn der Dienst beendet wird, werden geschtzte Inhalte m鐷licherweise nicht auf das Ger酹 gedownloadet.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Dienst fr Seriennummern der tragbaren Medien
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WmiApSrv
Bietet Leistungsbibliotheksinformationen der WMI-HiPerf-Anbieter.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\wbem\wmiapsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : WMI-Leistungsadapter
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: wscsvc
鈁erwacht Systemsicherheitseinstellungen und -konfigurationen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Sicherheitscenter
DEPENDENCIES : RpcSs
: winmgmt
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: wuauserv
Aktiviert den Download und die Installation fr wichtige Updates von Windows Update. Das Betriebssystem kann manuell ber die Windows Update-Website aktualisiert werden, falls der Dienst deaktiviert wird.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Automatische Updates
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WZCSVC
Bietet automatische Konfiguration fr 802.11-Adapter.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Konfigurationsfreie drahtlose Verbindung
DEPENDENCIES : RpcSs
: Ndisuio
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: xmlprov
Verwaltet XML-Konfigurationsdateien auf Dom鄚enbasis fr automatische Netzwerkversorgung.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Netzwerkversorgungsdienst
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

#14 bricat

bricat

  • Members
  • 205 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:02:34 PM

Posted 14 March 2005 - 05:46 PM

i haven't given up yet. :thumbsup:

Go HERE and upload 1 of the

O4 - HKCU\..\Run files from your log for them to analyse, and let me know what report you get.

then :-

go HERE and follow SIR JON's instructions to run ESCAN.

#15 Zack

Zack
  • Topic Starter

  • Members
  • 18 posts
  • OFFLINE
  •  
  • Local time:08:34 AM

Posted 15 March 2005 - 12:47 PM

hi. thanks for still working with me!
here's the result from the online scan. i uploaded open32.exe. all of the others i deleted directly out of my Windows/System 32 file so that i could get online. however, if i would restart the comuter, it would all come back.
i am now following Sir John's escan advice.

Scanned file: open32.exe
open32.exe - infected by Trojan-Clicker.Win32.Small.ed

Known viruses: 120985 Updated: 15-03-2005
File size (Kb): 6 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users