Guten Tag erstmal

Wie man schon aus dem Thread-Name entnehmen kann habe ich massive Probleme mit dem StartPage.IG. Trojaner. Okay mein Fehler war das ich nicht nur immernoch den IE benutze sondern auch leichtsinnigerweise Outlook XP mit automatischer Voransicht angekommener E-Mails in Verwendung hatte. Darüber habe ich mir höchstwarscheinlich das Ding eingefangen, aber darum gehts ja nicht.

Spybot meldet mir zwar den Trojaner aber kann Ihn wohl nicht erfolgreich entfernen, obwohl Spybot dies so anzeigt. Nach Neustart ist der Trojaner wieder aktiv.

Der IE wird nun sofort wieder beendet nachdem ich ihn starte. Manchmal kann ich noch eine geöffnete Site erkennen mit dem Inhalt: Acces blocked - Virus Warning.

Ich poste Euch mal die Hijack-Log aus der ich leider nicht schlau werde. Ihr scheint die Log ja wie eine Kindergeschichte zu lesen :P

--------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 02:15:21, on 17.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Windows Tools\TuneUp WinStyler\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\GEARSec.exe
D:\Burn\Nero InCD\InCD\InCDsrv.exe
D:\Security\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
d:\Online Tools\UltraVNC\WinVNC.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
D:\Security\Ad-Aware SE Professional 1.05\Ad-Watch.exe
D:\Windows Tools\TuneUp Utilities\MemOptimizer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
D:\Total Commander 6.51\TOTALCMD.EXE
D:\Security\Spybot - Search & Destroy\SpybotSD.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legio-divus.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - Default URLSearchHook is missing
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AWMON] "D:\Security\Ad-Aware SE Professional 1.05\Ad-Watch.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Security\eScan\LAUNCH.EXE"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Windows Tools\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - D:\ONLINE~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/tuma/web/...m::/update.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA4ED1E-0CB3-4023-84B8-0B658816C6A9}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{738B2234-73FF-4A77-AFA1-18C76D583500}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{979922D5-BD7D-4230-8043-96236FB3B175}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFB0754D-2630-4B04-8D6A-919980FA5B33}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CA4ED1E-0CB3-4023-84B8-0B658816C6A9}: NameServer = 69.50.176.156,195.225.176.31
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - D:\Online Tools\pcAnywhere\awhost32.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - D:\Burn\Nero InCD\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Security\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SpamiService - Unknown owner - C:\Programme\Spamihilator\SRVANY.EXE
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Online Tools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Windows Tools\TuneUp WinStyler\WinStylerThemeSvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - D:\Backup\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - d:\Online Tools\UltraVNC\WinVNC.exe" -service (file missing)
--------------------------------------------------------------------------

In anderen Threads von Euch wurden da Einträge beschrieben welche auf diesen Trojaner hinweisen. Ich finde in meiner LOG leider diese Sachen nicht.
Ad-Aware konnte auch nicht helfen und Norton Antivirus startet nicht mal mehr. E´Scan findet zwar Einträge aber löscht diese nicht bevor ich nicht die Vollversion käuflich erwerbe.

Könnt Ihr mir helfen?

Wenn das Ding hoffentlich bald gelöscht ist werde ich wohl auf Firefox und Thunderbird umsteigen.

Außerdem habe ich noch ein Prob mit CoolWWWSearch zu haben aber ich hoffe das kann ich sekundär behandeln.

Vielen Dank Euch....

Berzi

da ist einiges los!

hier die automatische auswertung - einfach deinen log in das leere feld kopieren und auswerten klicken:
http://www.hijackthis.de/index.php#anl

bevor du zum säubern beginnst, deaktiviere die systemwiederherstellung.

scannen mit tools im abgesicherten modus.

den ordner downloaded programmfiles ausmisten!
ordner TEMP leeren/papierkorb leeren.

Jo danke erstmal für den Link. Also bei der automatischen Auswertung zeigt es mir 2 böse Einträge an.


O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe


R3 - Default URLSearchHook is missing


Nun, so weit so gut. Dies sagt mir aber leider nicht aus wo die bösen Einträge zu finden sind. Also wie fixt man sie mit der Hand? Die Q330995.exe habe ich löschen können. Nach Reboot bleibt diese Datei zwar gelöscht aber ein neuer Hijack zeigt diese Warnung trotzdem an.

Systemwiederherstellung ist deaktiviert.

wenn du die vielen anderen anwednungen und einträge mit dem fragezeichen zuordnen kannst, dann ist es okey. einiges sagt mir nichts, anderes dürften programme von dir sein.

im abgesicherten modus den papierkorb leeren. (recycled) bzw. die exe die schon gelöscht wurde Q...

den ordner TEMP leeren vorher auch.

eventuell dann nocheinmal mit einem onlinescanner nachchecken.
http://us.mcafee.com/root/mfs/defaul...fs/default.asp

Jo hab das alles so gemacht wie Du beschrieben hast. Alle Temp´s, Cache und sogar Verlaufslisten sind gelöscht. Der Onlin Scanner funzt bei mir nicht da dieser IE vorraussetzt. Ich benutze jetzt aber Firefox da sich der IE auch nicht mehr starten lässt.

Resumé: StartPage.IG. noch drauf

das aus dem ordner Downloaded Programm Files löschen:

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/tuma/web...hm::/update.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

das mal näher kontrollieren:
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll

das wegmachen:
O4 - Global Startup: BTTray.lnk = ?

Also der komplette Ordner -Downloaded Program Files- ist leer. Die dll checken? Hmm wie überprüft man ne dll? Also ich habe Sie mal umbenannt und neu gebootet. --> ohne Ergebnisse

der Eintrag:O4 - Global Startup: BTTray.lnk = ? ist harmlos.
Dies ist nur der im Laptop eingebaute Bluetooth Hub. Das Fragezeichen resultiert daraus weil der HUB vorne am Laptop abschaltbar ist.

Langsam glaube ich es geht schneller den Laptop neu einzurichten.

hier rechts oben kannst du verdächtige einzelne dateien hochladen:

http://www.virustotal.com/flash/index_en.html

wird mit 17 oder 18 diverser engines gecheckt: mc afee, symantec, panda...usw.

wenn keine verdächtigen active x plugins da sind, dein papierkorb leer ist, der tempordner leer ist, und im abgesicherten modus unter berücksichtigung der systemwiederherstellung immer noch ein trojaner startpage vorhanden ist...kann ich wahrscheinlich dir auch nicht weiter helfen.

nur wo soll der noch sein? prüfe das:
bhoass.dll

dann poste einmal einen neuen log nach dem was du bislang gemacht hast.

Also diese Online Scanner finden tatsächlich in der bhoass.dll einen Trojaner Namens Trojan.Win32.Agent.cx. Fortinet nennt ihn: W32/CWS.C-tr.

Diese DLL ist auch nach dem Booten imer wieder neu vorhanden. Sie hat sich 4mal in die Registry gesetzt aber auch den Schlüssel dort löschen bringt nix.

Hier die aktuelle Hijack-Log

Logfile of HijackThis v1.99.1
Scan saved at 11:55:12, on 17.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Windows Tools\TuneUp WinStyler\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\GEARSec.exe
D:\Burn\Nero InCD\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Security\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
d:\Online Tools\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
D:\Security\Ad-Aware SE Professional 1.05\Ad-Watch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
D:\Windows Tools\TuneUp Utilities\MemOptimizer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
D:\Total Commander 6.51\TOTALCMD.EXE
C:\WINDOWS\System32\wuauclt.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.legio-divus.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - Default URLSearchHook is missing
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AWMON] "D:\Security\Ad-Aware SE Professional 1.05\Ad-Watch.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Security\eScan\LAUNCH.EXE"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Windows Tools\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - D:\ONLINE~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/tuma/web/...m::/update.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA4ED1E-0CB3-4023-84B8-0B658816C6A9}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{738B2234-73FF-4A77-AFA1-18C76D583500}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{979922D5-BD7D-4230-8043-96236FB3B175}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFB0754D-2630-4B04-8D6A-919980FA5B33}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CA4ED1E-0CB3-4023-84B8-0B658816C6A9}: NameServer = 69.50.176.156,195.225.176.31
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - D:\Online Tools\pcAnywhere\awhost32.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - D:\Burn\Nero InCD\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Security\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SpamiService - Unknown owner - C:\Programme\Spamihilator\SRVANY.EXE
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Online Tools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Windows Tools\TuneUp WinStyler\WinStylerThemeSvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - D:\Backup\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - d:\Online Tools\UltraVNC\WinVNC.exe" -service (file missing)

sory bin gerade beim essen...aber schnell überflogen sind die einträge noch alle da!

diese dll und der eintrag bei 016 mit dieser Q-exe die du schon gelöscht hast.

wenn der ordner Downloaded Programm Files leer ist kann da kein eintrag kommen!

leer kann er auch kaum sein, denn wo wären die einträge von win updates, von macromedia, die diversen symantec plugs...

übrigens säuberungsarbeiten im abgesicherten modus ausführen.

eventuell den CWSshredder verwenden.
(ich glaub so heist das tool gegen die coolwebsearch dinger...)
bzw. e-scan!

anleitungen/infos hier im forum!

oder das hier mal schnell:
http://www.grisoft.cz/softw/70/filed...r/vcleaner.exe

erkennt eine menge "Agent" varainten! (DirektDownload)!