WARNING! YOU'RE IN DANGER! - Brauche Hilfe..:(

  • Hallo erstmal..bin neu hier im Forum..:)


    Also..Ich war gestern Nichtsahnend im Internet Unterwegs, bis aufeinmal
    eine HTML Site mit folgendem Inhalt als Active Desktop eingerichtet wurde..


    WARNING!
    YOU'RE IN DANGER!




    ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.


    Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!



    SECURE YOURSELF RIGHT NOW!


    diese desktop.html lag im Ordner C:\WINNT\..
    ich hab sie in der cmd console mit dem del-Befehl gelöscht..doch heute is dieses Ding schon wieder als Active Desktop da..
    das wäre ja nichmal das größte Problem.
    Bei dem Versuch meinen Arbeitsplatz oder nen Ordner zu öffnen, stürtzt
    der Explorer ab..
    hab schon Virenscan mit fprot und norton antivirus 2004 probiert, bisher ohne erfolg..
    hab windows 200 prof..
    ist irgendjemandem dieses problem bekannt..und/oder kann mir irgendwie weiterhelfen..
    bitte ich hiermit um Hilfe..

  • Hallo,
    besorg dir mal Hijacktihs


    HijackThis, ein Programm mit dem man relevante Systemeinträge scannen kann, die von Hijackern umgeschrieben werden. Zusätzlich kann man einzelne Einträge entfernen.


    Starte Hijackthis, klicke auf "Scan", nun auf "Save Log" und kopiere den Text, um ihn hier als Antwort einzufügen. Ich/wir hier im Forum schauen dann mal über den Scan und sagen dir, was gefixt werden kann/muss.


    Du kannst auch auf http://www.hijacktihs.de gehen und hier en Text einfügen. Es wird dir dann gezeigt, welche Daten weg müssen und welche in Ordnung sind.


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Ups, falsch geschrieben ;)


    ww.hijackthis.de muss es heissen ;)


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Ok erstmal vielen Dank für die Antwort..und die freundliche Hilfe..;)
    hab denn scan eben durchgeführt..und hier sind die einträge aus der log..



    Logfile of HijackThis v1.98.2
    Scan saved at 16:59:30, on 13.11.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)


    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\netdde.exe
    C:\WINNT\System32\cisvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\SCardSvr.exe
    C:\WINNT\system32\MSTask.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
    C:\WINNT\system32\tlntsvr.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Windows AdControl\WinAdCtl.exe
    C:\WINNT\system32\rundll32.exe
    C:\Program Files\Windows AdControl\WinAdAlt.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\WINNT\system32\wuauclt.exe
    C:\Programme\ICQLite\ICQLite.exe
    J:\Programme\Skype\Phone\Skype.exe
    C:\WINNT\System32\cidaemon.exe
    J:\Programme\eMule.de\emule.exe
    C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/se…e.html?&account_id=136763
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/se…e.html?&account_id=136763
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/n…=exesrch1&look=stmpl1&fw=
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/n…xebar1&look=sbar1_srchbtn
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/n…=exesrch1&look=stmpl1&fw=
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/se…e.html?&account_id=136763
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/n…=exesrch1&look=stmpl1&fw=
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/n…=exesrch1&look=stmpl1&fw=
    R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/n…=exesrch1&look=stmpl1&fw=
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://google.de/
    R3 - URLSearchHook: (no name) - _{9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\cmd32.exe
    O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
    O2 - BHO: Recommended Hotfix - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Recommended Hotfix - 421701D\v15\RH.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll
    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
    O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file)
    O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINNT\system32\CustIE32.dll
    O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - C:\Programme\UCmore\UCMIE.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: UCmore Toolbar - {53CBEE82-D747-11d3-9ED0-005004189684} - C:\Programme\UCmore\UCMIE.dll
    O3 - Toolbar: ShopButler Toolbar - {1E730738-DF58-42fe-B531-290F80D2D5D7} - C:\PROGRA~1\SHOPBU~1.DLL
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Mirabilis ICQ] J:\PROGRA~1\ICQ\ICQNet.exe
    O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - J:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - J:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC} - file://C:\Programme\websearch\System\Temp\ebates_script0.htm (file missing) (HKCU)
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O15 - Trusted Zone: *.c4tdownload.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.iframe.biz
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.newiframe.biz
    O15 - Trusted Zone: *.overpro.com
    O15 - Trusted Zone: *.pizdato.biz
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.sp2admin.biz
    O15 - Trusted Zone: *.sp2fucked.biz
    O15 - Trusted Zone: *.vse-moe.biz
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O15 - Trusted Zone: *.ysbweb.com
    O16 - DPF: Microsoft WFC Forms Designer - file://E:\VJ98\wfcforms.cab
    O16 - DPF: Visual Studio 6 Extensibility Libraries - file://E:\VJ98\vstudio6.cab
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/…e064ccfbb2d7510b28ebf1261
    O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://216.65.38.226/Download_Plugin.exe
    O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
    O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{453C857B-650B-4060-91B1-333ABEF6AA69}: NameServer = 217.237.149.225 217.237.151.97

  • Hallo max_heat,
    gebe doch dein Logfile bei http://www.hijackthis.de/ ein.
    Auf "Auswerten" klicken, dann nach unten scrollen.
    Die Sache ist zu umfangreich.


    (Ich hoffe, Back hat dagegen nichts einzuwenden. :wink: )


    gruezi bessy

    Wenn es mit [b]diesem[/b] Tipp nicht klappt, versuche etwas anderes, vielleicht klappt das auch [b]nicht[/b]. :roll:
  • Hallo zusammen,


    bessy , natürliuch hab ich nichts einzuwenden, um so weniger Arbeit für mich ;) Ausserdem hab ich ja schon die Initialzündung gegeben *frech grins* Es ist doch jede Hilfe willkommen und je mehr Bescheid wissen und schnell helfen, um so schöner für die Betroffenen.


    max_heat
    Das war ja fast zu einfach :lol:
    Schön, wenn du das Ding wieder los bist.


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • :cry: Hallo. ich habe ein Problem.
    Bin auch Opfer von dem "Warning! You're in Danger"
    Habe schon alles versucht, inclusive HijackThis. Das Programm hat zwar einige gefährliche Sachen beseitigt. Trotzdem ist mein Deskop immer noch nicht frei. Ich habe das Fenster mit "Warning! You're in Danger" wegbekommen, aber stattdesssen ist jetzt alle weiss. Bitte hilft mir, das Problem zu lösen.

  • Hallo Christoph,
    wie soll ich dir bei so einer Fehlerbeschreibung helfen? Das ist in etwa wie: Mein Auto springt nicht mehr an, ich hab zwar schon den Anlasser gewechselt, aber es springt nicht an.


    Schon mal die Hintergrundfarbe auf dem Desktop gewechselt???
    Welches Betriebsystem hast du, XP? Was hast du alles gelöscht und welche Programme angewendet? Ich treffe leider oft auf solche Rechner an denen schon viel probiert wurde und auf einmal Fehler da sind, die ich beheben soll, obwohl ich nicht weiss, was an den Rechnern schon alles gemacht wurde. Manchmal sind einfach Sachen gelöscht worden, on denen ich nichts weiss und ich sitze Stunden ohne Ergebnis vor so einem Ding. Ich weiss, klingt schlimm, aber ich sitze nicht vor deinem Rechner.


    Mach wenigstens mal einen Screenshot und stell ihn hier rein, damit man sieht, wo das Problem sein soll.


    Geht denn sonstalles ausser dass dein Desktop-Hintergrund weiss ist? Einfach die Farbe wieder ändern. ;)


    Mit mehr Infos kann ich vielleicht helfen, aber nichts versprechen :)


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • hallo!
    ich habe das gleiche problem und habe bereits die oben gesagten schritte getan...habe bei hijackthis den check gemacht und die weiteren anweisungen befolgt...jedoch ist auf meinem hintergrund immernoch die warnung und wenn ich die desktop.html loesch ist alles weis....in der desktop.html ist genau das gleiche wie auf meinem desktop(klingt logisch) also auch wieder "warning! you're in danger"
    ich weiss nciht was ich tun soll !!!

  • Hallo Punisher,
    hmmm, ohne genaue Angabe der Dateien, die gelöscht wurden, kann ich wenig sagen. Gibt es bei deinem Tool (lpsfix) sowas wie eine Log-Datei, in der steht, was genau gelöscht wurde?


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • tag mal wieder,
    nee leider nich...aber es war irgendwas von wegen xfire...kanns aber echt nimmer genau sagen hab den log von hjt au nimmer...habs bis jetzt auch noch nich so wegbekommen...bekomm langsam die kriese mit dem schwarzen desktop...naja trotzdem danke...wenn ich hinbekomm meld ich mich und sag wie ichs gmacht hab...falls euch noch was einfaellt ichs chau oeffter mal hier rein...thx

  • Hallo Punisher,
    das wäre echt cool, denn da ich dieses Problem noch nie irgendwo hatte, würde mich eine Lösung sehr interessieren. Schade, dass ich nicht helfen kann, aber ich kenn das Problem noch nicht im Detail.


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Hi Leute, ich war auch echt m verzweifeln! Ich hae mit Abi Vir alles probiert, Hijackthis auch alle pöse weggemacht! aber das pöse kam immer wieder!
    AAAAABER ich habe das Problem endlich behoben:)


    Den Mist bringt ihr wie folgt weg:
    Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste - und fort mit Schaden.

    Am besten Halt den kram da löschen und schon habta wieder euern normalen desktop! Aber macht dann bestens nochmal hijth und guckt obs wech iss!!!

  • Hi Leute, ich war auch echt m verzweifeln! Ich hae mit Abi Vir alles probiert, Hijackthis auch alle pöse weggemacht! aber das pöse kam immer wieder!
    AAAAABER ich habe das Problem endlich behoben:)


    Den Mist bringt ihr wie folgt weg:
    Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste - und fort mit Schaden.

    Am besten Halt den kram da löschen und schon habta wieder euern normalen desktop! Aber macht dann bestens nochmal hijth und guckt obs wech iss!!!

  • Hallo,
    gern geschehen, auch wenn ich nicht der Problemlöser war.


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
  • Logfile of HijackThis v1.97.7
    Scan saved at 19:12:44, on 12.12.2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe
    C:\Programme\Toolbar\TBPS.exe
    C:\Programme\Toolbar\PIB.exe
    C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Internet Optimizer\optimize.exe
    C:\Programme\ISTsvc\istsvc.exe
    C:\WINDOWS\xwklha.exe
    C:\Program Files\Windows ControlAd\WinCtlAd.exe
    C:\temp\salm.exe
    C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
    C:\Programme\SED\SED.exe
    C:\PROGRA~1\VBouncer\VirtualBouncer.exe
    C:\Programme\Web_Rebates\WebRebates0.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Dokumente und Einstellungen\ferhat\Anwendungsdaten\estr.exe
    C:\WINDOWS\System32\d?dplay.exe
    C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
    C:\PROGRA~1\COMMON~1\tsa\ts2.exe
    C:\WINDOWS\System32\LVComS.exe
    C:\Programme\Web_Rebates\WebRebates1.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\Programme\Norton AntiVirus\SAVScan.exe
    C:\Programme\CashBack\bin\cashback.exe
    C:\Programme\BullsEye Network\bin\bargains.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\eMule.de\emule.exe
    C:\Program Files\Internet Optimizer\actalert.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\ferhat\Desktop\HijackThis.exe


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50162
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch
    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
    O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
    O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
    O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
    O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll
    O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
    O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
    O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] oubmfvvsn.exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [Lexmark 4200 Series] "C:\Programme\Lexmark 4200 Series\lxbmbmgr.exe"
    O4 - HKLM\..\Run: [FaxCenterServer4_in_1] "C:\Programme\Lexmark 4200 Series\Fax\fm3032.exe" /s
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
    O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [gwmLi] C:\WINDOWS\xwklha.exe
    O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
    O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
    O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
    O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
    O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
    O4 - HKLM\..\Run: [Spyware Stormer] C:\Programme\Spyware Stormer\SpywareStormer.Exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [gwmú"ü‰üžigÝY] C:\WINDOWS\xwklha.exe
    O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] oubmfvvsn.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\ferhat\Anwendungsdaten\estr.exe
    O4 - HKCU\..\Run: [Dncfc] C:\WINDOWS\System32\d?dplay.exe
    O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
    O4 - HKLM\..\RunOnce: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe /boot
    O4 - HKLM\..\RunOnce: [TBPS] C:\Programme\Toolbar\TBPS.exe /boot
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: SideFind (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O10 - Hijacked Internet access by New.Net
    O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.crazywinnings.com
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.searchmiracle.com
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.topconverting.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/…b877c63a0dcbb0ca5764d0b15
    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
    O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/…res/v4.0/0006_regular.cab
    O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
    O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/Med…sInstaller.cab?refid=4396
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/downl…sengerSetupDownloader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.c…ve/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{797D57A3-9420-4CDA-AEDA-3944AB3B4728}: NameServer = 62.72.64.237 62.72.64.241