Maxifiles - Freeprod Toolbar - Adware.Softomate

startseite Gastbuch Kontakt
Maxifiles Freeprod Toolbar
Maxifiles Freeprod Toolbar

Maxifiles - Freeprod Toolbar





1.
remove Maxifiles: (diese bfu sollte als erstes angewendet werden)
http://www.virus-protect.org/artikel/bfu/zango_bfu.html


2.
CleanUp anwenden, so wird gelöscht:

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHI7G1A7\stubNsbg[1].exe -> Adware.Maxifiles
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U9C9MF2N\launcher[2].exe -> Adware.Maxifiles
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1YZOPYR\freeprodtb[1].exe

3.
deinstallieren/löschen (sofern es nach der Anwendung der zango.bfu noch vorhanden ist)

C:\Programme\Gemeinsame Dateien\Windows
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000144.exe -> (oder andere Zahlenfolge)
C:\Programme\Gemeinsame Dateien\Windows\ack.html
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Programme\Gemeinsame Dateien\Windows\services32.exe

C:\Programme\Gemeinsame Dateien\Download
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\services.exe

C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\InetGet
C:\Programme\Gemeinsame Dateien\InetGet2
C:\Programme\InetGet2
C:\Programme\InetGet2\stub_109_4_0_4_0.exe

C:\Programme\Maxifiles

C:\Programme\DNS
c:\programme\dns\affid.dat
c:\programme\dns\cwebpage.dll
c:\programme\dns\x.bmp
c:\programme\dns\gui.exe
c:\programme\dns\catcher.dll
c:\programme\dns\uid.dat
c:\programme\dns\urls.dat

C:\Programme\Gemeinsame Dateien\mc-58-12-0000140.exe (oder andere Zahlenfolge)

C:\Programme\Freeprod Toolbar
C:\Programme\Freeprod Toolbar\freeprod.dll

C:\Programme\Network
C:\Programme\Network\network.exe
C:\Programme\Network\ipnetwork.exe
C:\Programme\Network Monitor\netmon.exe

C:\Programme\Toolbar888
C:\Programme\Toolbar888\ToolBar888.dll

C:\mc-110-12-0000181.exe (oder andere Zahlenfolge)
C:\mc-110-12-0000181.exe.tcf
C:\mc-58-12-0000140.exe (oder andere Zahlenfolge)
C:\mc-110-12-0000228.exe

C:\MTE3NDI6ODoxNg.exe
C:\stub_113_4_0_4_0.exe
C:\StubInstaller.exe
C:\services.exe
C:\Windows\a.exe
C:\Dokumente und Einstellungen\Username\a.exe


4.
mit Hilfe dieser complet.bat und eventuell in einem Sicherheitsforum (Thread eroeffnen !) findet man die verseuchten Dateien
completbat

5.
Look2Me-Destroyer.exe

und mit l2mfix scannen (0ption 2 , PC neustarten , Scan abwarten)

6.
http://virus-protect.org/ewido.html - scannen !


Datei: services32.exe

ArcaVir Trojan.Rbot.Hp gefunden
Fortinet Adware/Shorty gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Maxifiles.h gefunden
Norman Virus Control W32/Maxifiles.D gefunden
VBA32 AdWare.Win32.Maxifiles.h gefunden

------------------------

mc-58-12-0000140.exe und die Datei system32.dll

Datei: system32.dll

ArcaVir Adware.Maxifiles.A gefunden
Avast Win32:Trojan-gen. gefunden
AVG Antivirus Downloader.Agent.PN gefunden
BitDefender Trojan.Downloader.Agent.RV gefunden
F-Prot Antivirus W32/Downloader.GQL gefunden
Fortinet W32/CQG.C-tr gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Maxifiles.a gefunden
NOD32 Win32/Adware.Maxifiles application gefunden
Norman Virus Control W32/DLoader.GQM gefunden
UNA TrojanDownloader.Win32.Agent gefunden
VBA32 Trojan-Downloader.Win32.Agent.rv gefunden

--------------

Datei: mc-12.exe

ArcaVir Trojan.Clicker.Small.Ht gefunden
BitDefender Trojan.Msdrop.EN gefunden
Dr.Web Trojan.DownLoader.4473 gefunden

----------------

C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
C:\Programme\Gemeinsame Dateien\mc-58-12-0000140.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe


O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programme\DNS\Catcher.dll
O4 - HKCU\..\Run: [DNS] C:\Programme\Gemeinsame Dateien\mc-58-12-0000140.exe
O4 - HKLM\..\Run: [] winlog.exe
O4 - HKLM\..\RunServices: [] winlog.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab


ADSPY/Casino.d.3.A
ADSPY/Casino.d.3.B
ADSPY/Maxifiles
ADSPY/Maxifiles.A.1
ADSPY/Maxifiles.A.2
ADSPY/Maxifiles.A.3

Adware:Adware/Maxifiles C:\Programme\Freeprod Toolbar\freeprod.dll

O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Freeprod Toolbar\freeprod.dll
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Freeprod Toolbar\freeprod.dll
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Freeprod Toolbar\freeprod.dll

C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Download\freeprodtb.exe

O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000190.exe

# %ProgramFiles%\Maxifiles\basis.xml
# %ProgramFiles%\Maxifiles\maxifiles.dll
# %ProgramFiles%\Maxifiles\nav.bmp
# %ProgramFiles%\Maxifiles\toolbar.crc
# %ProgramFiles%\Maxifiles\version.txt
# %ProgramFiles%\Maxifiles\Cache\*.xml

ewido security suite - Scan report
C:\mc-110-12-0000181.exe -> Spyware.Maxifiles : Cleaned with backup
C:\mc-110-12-0000181.exe.tcf -> Spyware.Maxifiles


O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - H:\PROGRA~1\FREEPR~1\freeprod.dll
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - H:\Programme\Freeprod Toolbar\freeprod.dll
O4 - HKCU\..\Run: [services32] H:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000140.exe
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - H:\Programme\Freeprod Toolbar\freeprod.dll
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - H:\Programme\Freeprod Toolbar\freeprod.dll

Adw.Maxifiles.Director

O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe


Counterspy
http://virus-protect.org/counterspy1.html


HKEY_CURRENT_USER\Software\Director
HKEY_CURRENT_USER\Software\Director Affid mc-110-12-0000137
HKEY_CURRENT_USER\Software\Director BaseURL http://www.maxifiles.com/director
HKEY_CURRENT_USER\Software\Director Uid 5e0f04fc-9017-4f3f-802c-2f30e7cbc00e
HKEY_CURRENT_USER\Software\Director Request 1/1/2006 0:20:48

Adware:adware/maxifiles
C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet
C:\PROGRAMME\GEMEINSAME DATEIEN\Windows


09:03: Trouvé Adware: maxifiles
09:03: HKLM\software\classes\xbtb07618.ietoolbar.1\ (3 traces secondaires) (ID = 134851)
09:03: HKLM\software\classes\xbtb07618.ietoolbar.1\clsid\ (1 traces secondaires) (ID = 134852)
09:03: HKLM\software\classes\xbtb07618.ietoolbar\ (5 traces secondaires) (ID = 134853)
09:03: HKLM\software\classes\xbtb07618.xbtb07618.1\ (3 traces secondaires) (ID = 134854)
09:03: HKLM\software\classes\xbtb07618.xbtb07618\ (5 traces secondaires) (ID = 134855)
09:03: HKLM\software\microsoft\windows\currentversion\uninstall\xbtb07618.xbtb07618toolbar\ (2 traces secondaires) (ID = 134857)
09:03: HKCR\xbtb07618.ietoolbar.1\ (3 traces secondaires) (ID = 134864)
09:03: HKCR\xbtb07618.ietoolbar.1\clsid\ (1 traces secondaires) (ID = 134865)
09:03: HKCR\xbtb07618.ietoolbar\ (5 traces secondaires) (ID = 134866)
9:03: HKCR\xbtb07618.xbtb07618.1\ (3 traces secondaires) (ID = 134867)
09:03: HKCR\xbtb07618.xbtb07618\ (5 traces secondaires) (ID = 134868)



Kopiere folgenden Text in den Editor (Start ==> Ausführen ==> "notepad") ==> Speichern unter ==> Gib als Dateityp "Alle Dateien" an und als Namen: gemdatfind.bat speichern ==> Doppenklick auf die Datei ==> Es öffnet sich ein Editor ==> Kopier den gesamten Inhalt

cd\
cd c:\programme\Gemeinsame Dateien\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt


Datentraeger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\Programme\GEMEIN~1

21.10.2005 23:51 160.910 system32.dll
28.09.2005 11:55 220.014 mc-58-12-0000140.exe
13.01.2005 15:40 40.960 services.exe


datfindbat

Verzeichnis von C:\WINDOWS\system32
06.12.2005 20:44 33.082 exclean.exe

Verzeichnis von C:\
09.10.2005 15:17 220.014 mc-58-12-0000140.exe
26.08.2005 22:55 692.224 StubInstaller.exe
13.01.2005 16:40 40.960 services.exe


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [ms-update] scvhost.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-58-12-0000140.exe
O4 - HKCU\..\Run: [DNS] C:\Programme\Gemeinsame Dateien\mc-58-12-0000140.exe
O4 - HKCU\..\Run: [ukfm] C:\Programme\InetGet2\stub_109_4_0_4_0.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab


C:\WINDOWS\system32\scvhost.exe
C:\Programme\InetGet2
C:\WINDOWS\system32\exclean.exe
C:\Programme\Gemeinsame Dateien\mc-58-12-0000140.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows\mc-58-12-0000140.exe
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\services.exe
C:\mc-58-12-0000140.exe
C:\StubInstaller.exe
C:\services.exe

löschen
C:\Programme\Gemeinsame Dateien\Windows
C:\Programme\Gemeinsame Dateien\services.exe
C:\Programme\Gemeinsame Dateien\InetGet
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\InetGet2
C:\Programme\Gemeinsame Dateien\mc-58-12-0000140.exe

C:\Programme\Freeprod Toolbar

C:\Programme\Network
O4 - HKLM\..\Run: [IpNetwork] C:\Programme\Network\ipnetwork.exe

C:\Programme\DNS
C:\Programme\InetGet
C:\Programme\InetGet2

C:\Programme\Gemeinsame Dateien\InetGet2\mc-58-12-0000140.exe
C:\Programme\InetGet2\stub_109_4_0_4_0.exe

C:\WINNT\a.exe =>(RAR Sfx o)=>mc-58-12-0000140.exe
Infected with: Trojan.Downloader.4204

C:\Dokumente und Einstellungen\User\a.exe

C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe

C:\Programme\Gemeinsame Dateien\services.exe
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\Windows\ack.html
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Programme\Gemeinsame Dateien\Windows\services32.exe


anderer PC:

O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe

C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000137.exe
C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000228.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe

C:\Programme\Network\ipnetwork.exe
O4 - HKLM\..\Run: [IpNetwork] C:\Program Files\Network\ipnetwork.exe


Look2Me-Destroyer
http://virus-protect.org/artikel/tools/Look2Me-Destroyer.exe

Beispiel:
Infected! C:\WINDOWS\system32\k8no0i53e8.dll
Infected! C:\System Volume Information\_restore{12B802B7-EBCA-4D5A-811D-7069E1DD3A85}\RP53\A0032626.dll

Attempting to delete: C:\WINDOWS\system32\k8no0i53e8.dll
C:\WINDOWS\system32\k8no0i53e8.dllcould not be deleted!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Setup

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B3DCBB5C-01B5-4176-ACDB-3BA4ADF5E543}"
HKCR\Clsid\{B3DCBB5C-01B5-4176-ACDB-3BA4ADF5E543}

Restoring Windows certificates.
Replaced hosts file with default windows hosts file


Ewido
http://virus-protect.org/ewido.html

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll

C:\Programme\Toolbar888\ToolBar888.dll -> Adware.Softomate


anderer PC:
C:\Program Files\Common Files\InetGet\mc-110-12-0000206.exe
C:\Program Files\Common Files\Windows\mc-110-12-0000206.exe
C:\Program Files\Common Files\Windows\services32.exe
C:\Program Files\Common Files\Windows\__delete_on_reboot__services32.exe
C:\Program Files\Network\__delete_on_reboot__ipnetwork.exe

O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll

C:\Program Files\Toolbar888\ToolBar888.dll -> Adware.Softomate
C:\Programme\Toolbar888\ToolBar888.dll

DNSCatcher Adware

O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programme\DNS\Catcher.dll

c:\programme\dns\affid.dat
c:\programme\dns\cwebpage.dll
c:\programme\dns\x.bmp
c:\programme\dns\gui.exe
c:\programme\dns\catcher.dll
c:\programme\dns\uid.dat
c:\programme\dns\urls.dat
C:\Programme\Gemeinsame Dateien\InetGet2\mc-58-12-0000140.exe

C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP232\A0072125.exe

HKEY_CLASSES_ROOT\Interface\{FFF1F09E-4488-4029-B487-3C3C0CFCF89C}
HKEY_CLASSES_ROOT\Interface\{FFF428B9-C95E-48B1-BD0F-11AE94EA1878}
HKEY_CLASSES_ROOT\TypeLib\{FFF24F28-3AE2-46CD-AEBE-2F625133A1CA}
HKEY_CURRENT_USER\Software\DNS
HKEY_CLASSES_ROOT\CLSID\{FFF4E223-7019-4ce7-BE03-D7D3C8CCE884}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFF4E223-7019-4ce7-BE03-D7D3C8CCE884}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} NoExplorer 1
HKEY_CLASSES_ROOT\IECatcher.IEWebCatcher
HKEY_CLASSES_ROOT\IECatcher.IEWebCatcher\CLSID {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884}
HKEY_CLASSES_ROOT\IECatcher.IEWebCatcher.1\CLSID {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFF4E223-7019-4ce7-BE03-D7D3C8CCE884}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FFF24F28-3AE2-46CD-AEBE-2F625133A1CA}

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [Network] C:\Programme\Network\network.exe


completbat

Verzeichnis von C:\Programme
28.09.2005 11:55 DNS
28.09.2005 13:34 InetGet
04.12.2005 18:49 InetGet2
14.01.2006 18:32 Network

maxifiles - maxifiles.com

Adware:Adware/Maxifiles -> C:\Program Files\MaxiFiles\maxifiles.dll

Maxifiles HKCU\Software\XBTB04715
Maxifiles HKCU\Software\XBTB04715\Toolbar
Maxifiles HKCU\Software\XBTB04715\Toolbar
Maxifiles HKCU\Software\XBTB04715\Toolbar\TBShow
Maxifiles HKCU\Software\XBTB04715\Toolbar\firstTime


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\WINDOWS">> files.txt
notepad files.txt

-------

Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows

08.02.2006 20:23 436.932 mc-110-12-0000228.exe
11.02.2006 16:21 27 request.html
31.07.2005 17:29 126.976 services32.exe
5 Datei(en) 780.591 Bytes
2 Verzeichnis(se), 69.183.348.736 Bytes frei


Verzeichnis von C:\Programme\Gemeinsame Dateien
08.02.2006 20:22 InetGet
08.02.2006 20:34 rzor
10.02.2006 20:45 WinFixer 2005




Adware Freeprod

C:\Programme\Gemeinsame Dateien\Download\freeprodtb.exe

c:\programme\freeprod toolbar\basis.xml
c:\programme\freeprod toolbar\favicon.ico
c:\programme\freeprod toolbar\freeprod.crc
c:\programme\freeprod toolbar\icons.bmp
c:\programme\freeprod toolbar\version.txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.001\Desktop\freeprodtb.exe

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.001\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VM9GNYL\freeprodtb[1].exe

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXEJWL2R\toolbar[1].exe

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1YZOPYR\freeprodtb[1].exe


Freeprod Toolbar
c:\programme\windows\winupdate.fld
C:\Dokumente und Einstellungen\NoName\Lokale Einstellungen\Temp\nse2.tmp\nsProcess.dll
C:\Dokumente und Einstellungen\NoName\Lokale Einstellungen\Temp\nsmC.tmp\nsProcess.dll
C:\Dokumente und Einstellungen\NoName\Lokale Einstellungen\Temp\nso2.tmp\nsProcess.dll



ToolBar888 - Zango

HijackThis

O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D8765F7B442A3FC5 - {56F1D444-11BF-4879-A12B-79CF0177F038} - d:\programme\zango\zangohook.dll
O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [zango] "d:\programme\zango\zango.exe"
O4 - Global Startup: msconfig.exe
O4 - Global Startup: taskmgr.exe
O8 - Extra context menu item: MyToolBar Search - res://D:\Programme\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango]
[-HKEY_LOCAL_MACHINE\SOFTWARE\zango]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}\1.0\0\win32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zango"=-


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyToolBar.MyToolBarObj.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}\1.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888]

--------------------

[HKEY_USERS\S-1-5-21-1644491937-2147091713-682003330-500\Software\Microsoft\Internet Explorer\MenuExt\MyToolBar Search]
@="res://D:\\Programme\\ToolBar888\\MyToolBar.dll/MENUSEARCH.HTM"

Valid HTML 4.01 Ranking-Hits