Free Malware Removal Forum

[pedro04]

Hi Shaba,

unfortunately not, the same message appears:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

Any other ideas ? Thanks in advance,
Peter

[Shaba]

So is the file still there?

[pedro04]

Yes, it returns after every restart. When i want to let it check with Jotti - Antivir appears and ask me if I want to deny access. I deny and Jotti posts the message:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

At this time i can still see the file in system32.

When i try to let it check again Antivir appears again. Same procedure. After i put the Trojan in quarantine I can´t find it anymore. The message from Jotti is the same.

???

[Shaba]

OK, more investigation is needed:

* Download GMER from
here:
Unzip it and start GMER.exe
Click the rootkit-tab and click scan.

Once done, click the Copy button.
This will copy the results to clipboard.
Paste the results in your next reply.

[pedro04]

Hi shaba,

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-12 20:15:20
Windows 5.1.2600 Service Pack 3


---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f6033574
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0011f6033574

---- EOF - GMER 1.0.14 ----

i think this was the gordian knot ?
Have a nice weekend,
Peter

[Shaba]

Log is fine.

Let's check this next:

A bootlog is a file where windows writes down which drivers are loaded and which not during startup.
Using Windows explorer, see if you find c:\windows\ntbtlog.txt - If it exists, delete the file.

• Click Start then Run and type in msconfig in the edit box and hit Enter or click Ok
• Click on the boot.ini tab and check the box that says /BOOTLOG
• Click Apply & Ok and reboot the PC (may take a bit longer to boot)
• After it reboots, you will get a message that msconfig has been used to change your start settings.
• In msconfig, Check Normal Startup on the GENERAL tab, and on the BOOT.INI tab, Uncheck /BOOTLOG. Click Apply, OK.
• When a message asks if you want to Reboot now, Click Exit Without Reboot. You don't need to.
• Using Windows Explorer, locate c:\windows\ntbtlog.txt and post the content of the file.

[pedro04]

Hi shaba,

let´s have a look:

Service Pack 3 9 13 2008 13:06:25.375
Treiber geladen \WINDOWS\system32\ntkrnlpa.exe
Treiber geladen \WINDOWS\system32\hal.dll
Treiber geladen \WINDOWS\system32\KDCOM.DLL
Treiber geladen \WINDOWS\system32\BOOTVID.dll
Treiber geladen ACPI.sys
Treiber geladen \WINDOWS\system32\DRIVERS\WMILIB.SYS
Treiber geladen pci.sys
Treiber geladen isapnp.sys
Treiber geladen pciide.sys
Treiber geladen \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Treiber geladen intelide.sys
Treiber geladen MountMgr.sys
Treiber geladen ftdisk.sys
Treiber geladen dmload.sys
Treiber geladen dmio.sys
Treiber geladen PartMgr.sys
Treiber geladen pavboot.sys
Treiber geladen VolSnap.sys
Treiber geladen atapi.sys
Treiber geladen disk.sys
Treiber geladen \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Treiber geladen fltmgr.sys
Treiber geladen PxHelp20.sys
Treiber geladen SymSnap.sys
Treiber geladen KSecDD.sys
Treiber geladen Ntfs.sys
Treiber geladen NDIS.sys
Treiber geladen sbp2port.sys
Treiber geladen ohci1394.sys
Treiber geladen \WINDOWS\system32\DRIVERS\1394BUS.SYS
Treiber geladen Mup.sys
Treiber geladen BTHidMgr.sys
Treiber geladen \SystemRoot\system32\DRIVERS\nic1394.sys
Treiber geladen \SystemRoot\system32\DRIVERS\intelppm.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ialmnt5.sys
Treiber geladen \SystemRoot\system32\DRIVERS\HDAudBus.sys
Treiber geladen \SystemRoot\system32\DRIVERS\usbuhci.sys
Treiber geladen \SystemRoot\system32\DRIVERS\usbehci.sys
Treiber geladen \SystemRoot\system32\DRIVERS\e100b325.sys
Treiber geladen \SystemRoot\system32\DRIVERS\imapi.sys
Treiber geladen \SystemRoot\system32\DRIVERS\cdrom.sys
Treiber geladen \SystemRoot\system32\DRIVERS\redbook.sys
Treiber geladen \SystemRoot\System32\Drivers\GearAspiWDM.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\audstub.sys
Treiber geladen \SystemRoot\System32\Drivers\RootMdm.sys
Treiber geladen \SystemRoot\System32\Drivers\Modem.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\rasl2tp.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ndistapi.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ndiswan.sys
Treiber geladen \SystemRoot\system32\DRIVERS\raspppoe.sys
Treiber geladen \SystemRoot\system32\DRIVERS\raspptp.sys
Treiber geladen \SystemRoot\system32\DRIVERS\msgpc.sys
Treiber geladen \SystemRoot\system32\DRIVERS\psched.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ptilink.sys
Treiber geladen \SystemRoot\system32\DRIVERS\raspti.sys
Treiber geladen \SystemRoot\system32\DRIVERS\rdpdr.sys
Treiber geladen \SystemRoot\system32\DRIVERS\termdd.sys
Treiber geladen \SystemRoot\system32\DRIVERS\kbdclass.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mouclass.sys
Treiber geladen \SystemRoot\system32\DRIVERS\swenum.sys
Treiber geladen \SystemRoot\system32\DRIVERS\update.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mssmbios.sys
Treiber geladen \SystemRoot\System32\Drivers\NDProxy.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\NDProxy.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\usbhub.sys
Treiber geladen \SystemRoot\system32\drivers\sthda.sys
Treiber geladen \SystemRoot\system32\drivers\sigfilt.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\lbrtfdc.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Sfloppy.SYS
Treiber geladen \SystemRoot\System32\Drivers\i2omgmt.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Changer.SYS
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\Cdaudio.SYS
Treiber geladen \SystemRoot\System32\Drivers\Fs_Rec.SYS
Treiber geladen \SystemRoot\System32\Drivers\Null.SYS
Treiber geladen \SystemRoot\System32\Drivers\Beep.SYS
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\i8042prt.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\kbdhid.sys
Treiber geladen \SystemRoot\System32\drivers\vga.sys
Treiber geladen \SystemRoot\System32\Drivers\mnmdd.SYS
Treiber geladen \SystemRoot\System32\DRIVERS\RDPCDD.sys
Treiber geladen \SystemRoot\System32\Drivers\Msfs.SYS
Treiber geladen \SystemRoot\System32\Drivers\Npfs.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\rasacd.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ipsec.sys
Treiber geladen \SystemRoot\system32\DRIVERS\tcpip.sys
Treiber geladen \SystemRoot\system32\DRIVERS\netbt.sys
Treiber geladen \SystemRoot\System32\drivers\ws2ifsl.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ipnat.sys
Treiber geladen \SystemRoot\system32\DRIVERS\wanarp.sys
Treiber geladen \SystemRoot\System32\drivers\afd.sys
Treiber geladen \SystemRoot\system32\DRIVERS\netbios.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\serial.sys
Der Treiber wurde nicht geladen \SystemRoot\System32\Drivers\PCIDump.SYS
Treiber geladen \SystemRoot\System32\Drivers\V2IMount.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\ssmdrv.sys
Treiber geladen \SystemRoot\system32\DRIVERS\arp1394.sys
Treiber geladen \SystemRoot\system32\DRIVERS\rdbss.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mrxsmb.sys
Treiber geladen \SystemRoot\System32\Drivers\Fips.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\avipbb.sys
Treiber geladen \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
Treiber geladen \SystemRoot\system32\DRIVERS\PRISMA02.sys
Treiber geladen \SystemRoot\system32\DRIVERS\USBSTOR.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\usbccgp.sys
Treiber geladen \SystemRoot\system32\DRIVERS\hidusb.sys
Treiber geladen \SystemRoot\system32\DRIVERS\usbscan.sys
Treiber geladen \SystemRoot\system32\DRIVERS\usbprint.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mouhid.sys
Treiber geladen \SystemRoot\system32\DRIVERS\kbdhid.sys
Treiber geladen \SystemRoot\System32\Drivers\Fastfat.SYS
Treiber geladen \SystemRoot\system32\DRIVERS\AegisP.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ndisuio.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\rdbss.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\mrxsmb.sys
Treiber geladen \SystemRoot\system32\DRIVERS\mrxdav.sys
Treiber geladen \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\parport.sys
Treiber geladen \SystemRoot\system32\DRIVERS\srv.sys
Treiber geladen \??\C:\WINDOWS\system32\drivers\symlcbrd.sys
Der Treiber wurde nicht geladen \SystemRoot\system32\DRIVERS\ipnat.sys
Treiber geladen \SystemRoot\system32\drivers\wdmaud.sys
Treiber geladen \SystemRoot\system32\drivers\sysaudio.sys
Treiber geladen \SystemRoot\system32\drivers\splitter.sys
Treiber geladen \SystemRoot\system32\drivers\aec.sys
Treiber geladen \SystemRoot\system32\drivers\swmidi.sys
Treiber geladen \SystemRoot\system32\drivers\DMusic.sys
Treiber geladen \SystemRoot\system32\drivers\kmixer.sys
Treiber geladen \SystemRoot\system32\drivers\drmkaud.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ctoss2k.sys
Treiber geladen \SystemRoot\system32\DRIVERS\ctsfm2k.sys
Treiber geladen \SystemRoot\system32\drivers\ctusfsyn.sys
Treiber geladen \SystemRoot\system32\DRIVERS\asyncmac.sys
Treiber geladen \SystemRoot\System32\Drivers\Cdfs.SYS
Treiber geladen \SystemRoot\System32\Drivers\HTTP.sys
Treiber geladen \SystemRoot\system32\drivers\kmixer.sys

CU, Peter

[Shaba]

Some drivers look like not be loaded.

Do you have Age of Empires I or II installed?

I ask because of this

[pedro04]

No, i think i haven´t installed any games

[Shaba]

Please visit this webpage for download links, and instructions for running the tool:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Please ensure you read this guide carefully and install the Recovery Console first.

The Windows Recovery Console will allow you to boot up into a special recovery (repair) mode. This allows us to more easily help you should your computer have a problem after an attempted removal of malware. It is a simple procedure that will only take a few moments of your time.

Once installed, you should see a blue screen prompt that says:

The Recovery Console was successfully installed.

Please continue as follows:

1. Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix, link
   Remember to re-enable them afterwards.
   
   
2. Click Yes to allow ComboFix to continue scanning for malware.

When the tool is finished, it will produce a report for you.

Please include the following reports for further review, and so we may continue cleansing the system:

C:\ComboFix.txt
New HijackThis log.

A word of warning: Please do not run ComboFix on your own. This tool is not a toy and not for everyday use.

[pedro04]

I have winxpsp1_de_pro_bf.exe and combo-fix installed (desktop). Unfortunately my CD/DVD device doesnt´t work. Therefore I can´t start the recovery console. It stops, when i am told to name the drive where the recovery discs should be written. I tried to write it to an extern storage drive - but it doesn´t work.

not easy with my devices ..... i´m desperate...

I would make a complete new setup - but i don´t knpw how to recover without CD/DVD drive working properly.

Cu, Peter

[Shaba]

You should download recovery console for SP2 from Microsoft site as you have SP2 installed, link.

After that, try to drag & drop it into Combofix.exe

[pedro04]

O.K. - Stupid-me. Unfortunately the result after downloading WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe is the same. I cant´t name a device where recovery can writw 6 disks. After drag and drop the right program into the combo-fix sign, combofix starts and even starts scanning. But after a while i get the message, that WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe can´t be found, although it is still on the desktop ????

Desperate again ....

[Shaba]

OK, you can then let Combofix scan without drag & drop

[pedro04]

Hi Shaba:
Combo Fix:
ComboFix 08-09-14.02 - Kötting Peter 2008-09-15 9:51:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.217 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kötting Peter\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Kötting Dagmar\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\msacm32.drv

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-15 bis 2008-09-15 ))))))))))))))))))))))))))))))
.

2008-09-12 20:02 . 2008-09-12 20:06 250 --a------ C:\WINDOWS\gmer.ini
2008-09-12 18:56 . 2008-09-12 18:56 416 --a------ C:\WINDOWS\system32\394802298121.CPX
2008-09-11 08:54 . 2008-09-11 08:54 <DIR> d-------- C:\Programme\ERUNT
2008-09-10 14:09 . 2008-09-10 14:28 <DIR> d-------- C:\rsit
2008-09-07 15:56 . 2008-09-07 15:56 <DIR> d-------- C:\SWTOOLS
2008-09-05 17:14 . 2008-09-05 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\Kötting Peter\.housecall6.6
2008-09-05 17:14 . 2008-09-05 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\Kötting Peter\.housecall6.6
2008-09-05 15:26 . 2008-09-05 15:26 <DIR> d-------- C:\Programme\Panda Security
2008-09-05 15:26 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-17 16:37 . 2008-08-17 16:37 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-17 16:37 . 2008-08-17 16:37 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-17 16:37 . 2008-08-17 16:37 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-17 16:33 . 2008-08-17 16:37 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-17 15:31 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 09:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-12 14:51 --------- d-----w C:\Programme\Java
2008-08-10 21:52 --------- d-----w C:\Dokumente und Einstellungen\Kötting Peter\Anwendungsdaten\Skype
2008-08-10 15:36 --------- d-----w C:\Dokumente und Einstellungen\Kötting Peter\Anwendungsdaten\skypePM
2008-08-08 15:20 --------- d-----w C:\Programme\Sun
2008-08-07 10:23 --------- d-----w C:\Programme\Trend Micro
2008-07-28 15:27 --------- d-----w C:\Programme\PartyGaming
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:14 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2006-07-17 10:58 276 -c--a-w C:\Programme\INSTALL.LOG
2006-05-14 06:28 104 -csh--r C:\WINDOWS\system32\ABE7456322.sys
2008-04-24 01:49 2,828 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:07, on 15.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Advoweb\Advoware\Server\dbntsrv.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PRISMSVR.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/la ... oader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/la ... loader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Gupta SQLBase Server85 - Gupta Technologies, LLC - C:\Advoweb\Advoware\Server\dbntsrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: SageDB 5.0 - Unknown owner - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8666 bytes

Thanks for all your efforts,
Peter