mag jemand einen ntsearch-deinstaler testen? ist von einem programmierer hier aus der ecke, aber ich werd das nicht veröffentlichen, wenn es nicht von einem av-hersteller stammt und/oder von einer seriösen sicherheitsseite stammt.

</font><blockquote>Zitat:</font><hr />Gesendet: Dienstag, 6. Januar 2004 12:27
An: redaktion@oberberg-aktuell.de
Betreff: Btr. Deinstallationsprogramm für NTSearch.com Trojaner aus Oberberg [img]smile.gif[/img]

Sehr geehrte Damen und Herren,

seit kurzem grasiert ein neuer "Trojaner" im Internet, der Spooner Trojaner (NTSearch.com).

Der Trojaner tauscht vorhandene Links in Webseiten mit einem Link zu www.ntsearch.com aus und zeigt manche Seiten nur leer an.

Da der Rechner eines Bekannten am Wochenende infiziert wurde, machte ich mich auf die Suche nach Hilfe zur Deinstallation des Trojaners.

Mit der gefundenen Hilfe habe ich am Sonntag ein kleines Programm (9kb) geschrieben, das diesen Trojaner findet und vom System löscht.

Mein Programm funktioniert von Windows 98 -&gt; Windows XP und ist in Assembler programmiert.

Da Sie Oberbergs größte Internetzeitung sind, würde ich mich freuen wenn Sie mein Programm Ihren*Lesern vorstellen würden, ich komme auch aus Oberberg und könnte etwas "Werbung" vertragen

Sie finden das kostenlose Programm (SpoonWeg) auf meiner Homepage : Http://***.de.vu

Für weitere Fragen/Artikel zu diesem Trojaner oder anderen Fragen im Windows Sicherheitsbereich, stehe ich Ihnen gerne zur Verfügung.

Mit freundlichem Gruss

Mxxx x.</font>[/QUOTE]WENN das teil funzt, veröffentliche ich es ja gerne, aber nicht einfach so. link gibbet gerne per e-mail

[ 06. Januar 2004, 16:38: Beitrag editiert von: BEASTIEPENDENT ]

@ BEASTIEPENDENT

Kann ich dein Eingangs Posting, wenn es Nu richtig ist diese Trojaner/Viren zu entfernen mal entnehmen, und in einen anderen Forum Posten, ist das erlaubt ?

THN

Moin THN,

auf jeden Fall kannst Du wohl auf dieses Board verweisen. Das ist imho das selbe Tool.
Ich habe es gestern Abend mal heruntergeladen. Ausprobieren konnte ich es allerdings nicht, da ich nicht betroffen bin...

tschööö, DerBilk

Das Tool funktioniert hier unter XP, allerdings weiss ich nicht, wie das Programm, die SP.exe identifiziert. Sprich nach Dateiname oder zumindest Pruefsumme.

Wer von euch testet das jetzt mal an einem Backdoor, nennt ihn nach sp.exe um, startet ihn und laesst das tool mal drauf los! Wahlweise kann man ja auch NOTEPAD.EXE nehmen. [img]smile.gif[/img]

edit: Nein, so doof ist es nicht!

</font><blockquote>Zitat:</font><hr />Original erstellt von TrojanerHunterNEW:
Kann ich dein Eingangs Posting, wenn es Nu richtig ist diese Trojaner/Viren zu entfernen mal entnehmen, und in einen anderen Forum Posten, ist das erlaubt ?</font>[/QUOTE]hiho,

ja, ich denke schon (alllerdings isses ja nich von mir selber), außerdem fehlt ja der link?!

</font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk:
auf jeden Fall kannst Du wohl auf dieses Board verweisen. Das ist imho das selbe Tool.</font>[/QUOTE]yep, hat mir der programmierer inzwischen auch (nochmal) geschrieben. also er hat nochmal geschrieben und auch dieses board genannt.

ich kann das tool nicht prüfen und möchte aus verständlichen gründen kein av-tool den lesern empfehlen, wenn ich nicht wirklich sicher sein kann, dass es das ist, was es vorgibt zu sein.

insbesondere nach seiner zweiten mail habe ich den eindruck, dass es seriös ist, aber ich MUSS mich absichern.

ich bin der author des programmes SpoonWeg um das es hier unter anderem geht.

also das programm ist eigentlich recht einfach aufgebaut, sonst wären es ja keine 9kb

bei der ersten version hatte ich noch keinen spooner hijackers, darum habe ich lediglich die 'sp.exe' im speicher gesucht, beendet,den autostart registry key und das file von der festplatte gelöscht...

als ich sonntag mittag die 'sp.exe' von meinem schwager in spe bekommen habe, habe ich gesehen das der author des hijackers vergessen hatte den handlenamen im taskmanager zu entfernen.

wenn man ctrl-alt-entf drückt, sieht man den process 'sp'

mein neues programm (version 1.1.0.0) liest nun die handlenamen aus und vergleicht die namen mit 'sp'
wenn 'sp' gefunden wird, dann wm_quit
in der registry den key 'sp' lesen=pfad zum spooner
den wert mit deletefile bearbeiten, vorher eventuellen schreibschutz löschen
dann den regkey löschen und das wars...

wird sicher keiner ein seriöses programm haben das sich nur 'sp' nennt, habe in 20 jahren computer erfahrung keins gesehen [img]smile.gif[/img]

an dem source code hänge ich nicht so besonders, hab da eh nur ca. 4 stunden getippt und gebastelt.
also wenn es die sache was beschleunigt gebe ich den source code gerne an jemand versiertes weiter.
das programm ist in assembler geschrieben.

es gibt sicher noch genug leute die diesen hijacker auf dem rechner haben und auch keine anti viren software, die warten auf hilfe

eigentlich finde ich es gut das ihr das so ernst behandelt, aber dann sollte das schon was schneller gehen mit dem testen [img]graemlins/kloppen.gif[/img]

also bitte die neue version downloaden, antesten und wenn jemand eine bessere idee hat das teil zu finden, bitte posten.

mir ging es nur darum meinem schwager in spe, der keine ahnung von registry+taskmanager usw. hat, kurzfristig seinen pc wieder nutzbar zu machen.
er wohnt in hannover, ich in gummersbach...leider nichts mit mal eben hinfahren.
also konnte ich nur den deinstaller coden und dann halt veröffentlichen [img]smile.gif[/img]

gruss faraji

Hallo,

seit gestern wird aus "www.google.de" --&gt; "www.www.google.de.org" !!

Ich habe getestet:
- adaware
- spybotsd12.exe
- HijackThis.exe
- CWShredder.exe
- SpoonWeg.exe

hat alles nicht geholfen !!

Wer weiss noch etwas??

Lore

</font><blockquote>Zitat:</font><hr />Original erstellt von Lore:
Hallo,

seit gestern wird aus "www.google.de" --&gt; "www.www.google.de.org" !!

Ich habe getestet:
- adaware
- spybotsd12.exe
- HijackThis.exe
- CWShredder.exe
- SpoonWeg.exe

hat alles nicht geholfen !!

Wer weiss noch etwas??

Lore </font>[/QUOTE]Poste mal bitte den Bericht von Hijackthis!!
Daruas können dann andere Infos entnehmen und effektiver helfen! [img]smile.gif[/img]

Cu, Ramses

Logfile of HijackThis v1.97.7
Scan saved at 16:47:14, on 13.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVirenKit\AVKSVC.exe
D:\Programme\AntiVirenKit\AVKWCTL.exe
D:\Programme\AntiVirenKit\AvkServ.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AntiVirenKit\AVKPOP.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
D:\Programme\Internet Explorer\iexplore.exe
C:\Programm-Dateien\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVK Mail Checker] "D:\Programme\AntiVirenKit\AVKPOP.EXE"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://62.138.42.212/CFIDE/classes/CFJava.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://download.macromedia.com/pub/shockwave/cabs/authorware/awswaxf.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37867.0161111111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

</font><blockquote>Zitat:</font><hr />seit gestern wird aus "www.google.de" --&gt; "www.www.google.de.org" !!....</font>[/QUOTE]Hallo und willkommen im Board Lore,

ist das nur bei der seite google.de so, oder auch bei allen anderen Seiten?

Es gibt doch im IE das 'Feature' das www am Anfang und org am Ende automatisch hinzugefügt werden können. Also zum Beispiel, wenn man auf www.microsoft.com will, braucht man nur microsoft eingeben. Nur weiß ich aus dem Kopf leider nicht auswendig, wie man das (de)aktiviert. Ich werd mal ein bisschen 'graben'.

Nachtrag:
STRG+EINGABETASTE = "http://www." am Anfang und ".com" am Ende des in der Adressleiste eingegebenen Textes einfügen.

Hast Du zufällig die [STRG]-Taste gedrückt, bzw. kann es sein, dass sie klemmt??
BTW: Dein HijackThis-Log sieht für mich sauber aus.

tschööö, DerBilk

[ 13. Januar 2004, 19:00: Beitrag editiert von: DerBilk ]

Hallo,

es tritt zum Glück nur bei Google auf - ich hoffe das bleibt so, bis ich den Fehler gefunden habe.

Nein, keine STRG + Eingabe gedrückt, IM IE ist auch das Autovervollständigen abgeschaltet.

Ich habe gerade noch mal die Prozesse angesehen - es läuft nichts zusätzliches, auch bei der Umleitung nicht. Das gleich tritt auch in Mozilla auf.

Lore

Hallo!

Ich bräuchte bitte unbedingt Hilfe von euch Spezialisten! Ich habe auch das Problem mit ntsearch.com. Zusätzlich will sich bei mir immer ein Programm installieren, ohne dass ich das veranlasst habe. Habe schon versucht gezielt diesen Trojaner (Spooner) zu entfernen, aber das Programm hat ihn nicht gefunden und mein Antivirenprogramm meldet mir immer wieder, dass ich eine gefährliche Datei (C:\\Windows\Desktop\-Embedding) isolieren soll. Hab ich auch schon mehrmals gemacht, aber diese Meldung kommt immer wieder. Hat das überhaupt was mit einem Trojaner zu tun, ist es ein Virus, oder ist mein Computer einfach nur verrückt?? Kenn mich überhaupt nicht aus. Kann mir jemand helfen? Danke!
lg Sumsi

</font><blockquote>Zitat:</font><hr />Original erstellt von Sumsi:
Hallo!

Ich bräuchte bitte unbedingt Hilfe von euch Spezialisten! Ich habe auch das Problem mit ntsearch.com. Zusätzlich will sich bei mir immer ein Programm installieren, ohne dass ich das veranlasst habe. Habe schon versucht gezielt diesen Trojaner (Spooner) zu entfernen, aber das Programm hat ihn nicht gefunden und mein Antivirenprogramm meldet mir immer wieder, dass ich eine gefährliche Datei (C:\\Windows\Desktop\-Embedding) isolieren soll. Hab ich auch schon mehrmals gemacht, aber diese Meldung kommt immer wieder. Hat das überhaupt was mit einem Trojaner zu tun, ist es ein Virus, oder ist mein Computer einfach nur verrückt?? Kenn mich überhaupt nicht aus. Kann mir jemand helfen? Danke!
lg Sumsi </font>[/QUOTE]Hi!
Schau mal in diesen Thread und lade dir auch "Hijack-This" runter und poste dein LOG FILE!!!

Cu, Ramses

Hallo Ramses!
Hab dir das mal eingefügt!

Logfile of HijackThis v1.97.7
Scan saved at 23:14:37, on 13.01.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\DOWNLOADWARE\DW.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vienna.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=tk-proxy.univie.ac.at:3128;gopher=tk-proxy.univie.ac.at:3128;http=tk-proxy.univie.ac.at:3128;https=tk-proxy.univie.ac.at:3128
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\PROGRAMME\WINEX\V2\WINEX.DLL
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O1 - Hosts: 216.40.230.4 alpha.kazaa.com
O1 - Hosts: 216.40.230.4 shop.kazaa.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\PROGRAMME\WINEX\V2\WINEX.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WindowEnhancer] "C:\PROGRAMME\WINEX\V2\WINEX.EXE" /U
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37595.0293287037
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst.cab
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory Class) - http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab

Oha, das ist aber eine 'nette' Sammlung....

Auf der ersten Seite findest Du Hinweise zu CWShredder und Spybot Search&Destroy. Diese kostenlosen Tools solltest Du als erstes herunterladen (Spybot aktualisieren nicht vergessen!) und die Vorarbeiten machen lassen. Danach poste bitte ein neues Log, damit wir sehen, ob noch etwas übrig geblieben ist, was weg sollte.

tschööö, DerBilk