Hallo,
Ausgangslage:
Im IE hat sich der Trojaner mit About:Blank bemerkbar gemacht, der eine Search- Seite als URL hat, die nicht geändert werden kann.Wenn man eine URL aufruft bricht die nach einiger Zeit ab und die SearchURL ist da.Es erscheinen dann in unregelmäßigen Abständen ein Security iGuard Programm (Habe ich nicht installiert),dass auffordert eine URL aufzusuchen, des weiteren erscheinen unregelmäßig Fenster von einem Warning Blocker mit der URL http://s13.temp.cc mit der Bemerkung das ein Parasit (ist Trojaner gemeint davon gehe ich aus) vorliegt und man soll eine spyware zum killen aufrufen.
1.
Habe mit Antivir gescannt und es erscheint folgende Meldung [WARNUNG] Ist das Trojani-sche Pferd TR/StartPage.qr.DLL! C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL
Weiter wurde nichts gefunden
2.
Habe SpHjfix.exe in der V1.0.0.7 die Desinfektion gestartet.
Nach kurzer Zeit ganz oben im Fenster SP.html- Hijack Fixer nicht Infiziert
Danach habe ich den Neustart gemacht und dann mit CWS- Shredder V2.13
Button Fix gestartet dort zeigt er viele Dateien an wo als Resultat Not Present steht
Bei einer CWS. HiddenDLL steht als Resultat Removed
Am Ende des Logs steht:
Restoring IE pages 2 Restored
Restoring Hidden IE Options tabs Done
Restoring Hosts File Redirections None Infected
Danach Neustart gemacht und das Ergebnis war das gleiche wie vorher
3.
Da Schritt 2. kein Erfolg gebracht hat, habe ich HijackThis laufen lassen.

Logfile of HijackThis v1.99.1
Scan saved at 19:08:14, on 17.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Dieter\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hi-jackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0399A783-30F2-447B-83BE-37DA10A5B6C2} - C:\WINDOWS\system32\eocb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Datei-en\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Datei-en\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Datei-en\aolshare\AOLMIcon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Sys-tems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O18 - Filter: text/html - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll
O18 - Filter: text/plain - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Dann den Button auswerten gedrückt und folgende Punkte gefunden:
Bitte noch mal nachschauen ob ich es auch richtig interpretiere.

R1- HKCU … erkennt böse C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL
R1- HKLM … erkennt böse C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL
O2- BHO…C:\Window\system32\eocb.dll wird die benötigt?
O4- HKLM.. erkennt die unter R1 genannte DLL als unbekannt
O4-HKLM.. erkennt das oben genannte Programm iGuard.exe als unbekannt, wurde von mir nicht installiert
O4-HKCU…..Aolmicon.exe weiß nicht ob es was mit AOL zu tun hat war dem
Rechner vorkonfiguriert
O4-startup CapiControl müsste sich um die CAPI SW der T-Eumex 520PC handeln
O4-Startup HomeNetControl müsste sich um die HomeNetControl SW der
T-Eumex 520PC handeln
O9…Medionshop ist bestimmt von der Vorinstallation da, würde ich fixen wollen?
O18 …eocb.dll siehe auch O2-BHO wird die benötigt?
O18… eocb.dll siehe auch O2-BHO wird die benötigt?
O23…C:\Programme\CA\SharedComponents\CA-LIC\....
weiß nicht ob es zur Vorinstallierten CA-VirenSW gehört
Warum am Ende keine aktive FW steht, kann ich nicht verstehen, da SP2 installiert wurde und im Button die FW als grünes Häckchen dargestellt wird.
Ich würde unter HijackThis.de die Häckchen fürs Fixen setzen und was mach ich dann???
Da ich nicht weiß wie man dann die bösen Einträge aus der Regrestry entfernen kann…
Wo muß die Datei dann eingespielt werden oder manuell geändert werden in der Regrestry ??
Wie komm ich da ran usw. Fragen über Fragen????
Es wäre schon wenn die zu machenden Schritte kurz aufgezeigt werden der Reihe nach, da ich kein Windowsspezi bin. Wollte keine Neuinstallation machen.
Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte, denn wie es weiter geht da habe ich so recht nichts in Internet gefunden.
Vielen Dank im vor aus.

Hi Du,

ich hoffe Du hast daran gedacht, dass Du saemtliche Schritte im abgesicherten Modus durchführst, denn ansonsen ist es vergebliche Liebesmühe.

Ich empfehle dann ausserdem eScan und einen kompletten Scan deines PCs (natürlich auch im abgesicherten) und damit ein wenig zu arbeiten.

HJT sollteste dann auch laufen lassen und folgende Einträge fixen :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html

O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll,DllInstall

Denk uch dadran die Systenwiederherstellung (automatische) zu deaktiveren, und zwar BEVOR Du all diese Schritte durchführst.

Hoffe ich konnte etwas helfen.

Gruss
Andy

@Dieterwk
wechsle in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html
O2 - BHO: (no name) - {0399A783-30F2-447B-83BE-37DA10A5B6C2} - C:\WINDOWS\system32\eocb.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O18 - Filter: text/html - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll
O18 - Filter: text/plain - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll

lösche danach manuell
C:\WINDOWS\system32\eocb.dll
C:\Programme\Security iGuard\Security iGuard.exe
C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll
neu booten, neues HJT logfile posten

chaosman

Vielen Dank für die bisherigen Antworten.
Habe die Systemwiederherstellung deaktiviert und habe im abgesicherten Modus die SpHjfix.exe gestartet brachte auch wieder die gleiche Ausschrift „nicht infiziert“. Dann den Rechner runtergefahren und wieder gebootet und CWS-Shredder gestartet.
Hat aber alles nichts genützt…….gleiche Zustand wie ich ihn oben schon beschrieben hatte.

Allso wieder weiter mit HJT
So ich würde jetzt die Systemwiederherstellung deaktiviert und im gesicherten Modus den HJT Scan fürs Logfile machen. Kann ich dann online im abgesicherten Modus gehen und die Auswertung des HJT machen sowie anschließend die bösen Sachen fixen?
Wie sind denn meine nächsten Schritte, die sind mir nicht klar, wie bekomme ich das gefixte Log in die Registry???? Denn schließlich müssen die bösen Buben ja aus der Registry raus….
Weiß nicht so recht wie es weiter geht……
Erbitte Hilfe. Vielen Dank im voraus Gruß Dieter

Kann bitte jemand mir weiterhelfen!!!!!

Vielen Dank für die bisherigen Antworten.
Habe die Systemwiederherstellung deaktiviert und habe im abgesicherten Modus die SpHjfix.exe gestartet brachte auch wieder die gleiche Ausschrift „nicht infiziert“. Dann den Rechner runtergefahren und wieder gebootet und CWS-Shredder gestartet.
Hat aber alles nichts genützt…….gleiche Zustand wie ich ihn oben schon beschrieben hatte.

Allso wieder weiter mit HJT
So ich würde jetzt die Systemwiederherstellung deaktiviert und im gesicherten Modus den HJT Scan fürs Logfile machen. Kann ich dann online im abgesicherten Modus gehen und die Auswertung des HJT machen sowie anschließend die bösen Sachen fixen?
Wie sind denn meine nächsten Schritte, die sind mir nicht klar, wie bekomme ich das gefixte Log in die Registry???? Denn schließlich müssen die bösen Buben ja aus der Registry raus….
Weiß nicht so recht wie es weiter geht……
Erbitte Hilfe. Vielen Dank im voraus Gruß Dieter

@Dieterwk

Allso wieder weiter mit HJT
So ich würde jetzt die Systemwiederherstellung deaktiviert und im gesicherten Modus den HJT Scan fürs Logfile machen. Kann ich dann online im abgesicherten Modus gehen und die Auswertung des HJT machen sowie anschließend die bösen Sachen fixen?
Wie sind denn meine nächsten Schritte, die sind mir nicht klar, wie bekomme ich das gefixte Log in die Registry???? Denn schließlich müssen die bösen Buben ja aus der Registry raus….
Weiß nicht so recht wie es weiter geht……
Erbitte Hilfe. Vielen Dank im voraus Gruß Dieter

wo ist dein problem?
ich habe dir doch gepostet was du machen sollst?

Kann ich dann online im abgesicherten Modus gehen und die Auswertung des HJT machen sowie anschließend die bösen Sachen fixen?

Nein, mache bitte genau das was ich dir gepostet habe.

chaosman

So nun nochmal mein Logfile, müßte aus meiner Sicht i.O. sein.
Funktioniert soweit auch alles wieder.

Logfile of HijackThis v1.99.1
Scan saved at 18:36:15, on 19.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Besonderen Dank noch mal an chaosman!!!!
Naja ich hatte immer gedacht, dass ich online fixen muß, daher mein Problem...

Gruß Dieter