Hallo Leute,

habe ein Trojana Problem. Antivir meldet den gefundenen Trojana
Dldr.Zlob.am.1, nach dem löschen ist er aber dennoch da. Habe es auch schon mit ddiversen anderen Virenprogrammen (Spyware doctor, Ad Aware, Spybot - search and destroy) versucht aber vergeblich, auch im abgesicherten Modus.
Kann mir jemand helfen?
Habe die HijackThis logfile mitgeschickt, hoffe das ist richtig so.

Logfile of HijackThis v1.99.1
Scan saved at 20:55:12, on 18.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Valve\Steam\Steam.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Programme\Spyware Doctor\swdoctor.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\IDETOOL\IDETOOL.EXE
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Ghostgum\gsview\gsview32.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Johann.S\Lokale Einstellungen\Temp\Tempor„res Verzeichnis 2 f�r hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\System32\hp806B.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] E:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Spyware Doctor] "E:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: IDETool.lnk = C:\Program Files\IDETOOL\IDETOOL.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche �bersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Žhnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred Control) - file://E:\Programme\AutoCAD LT 2000i Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://E:\Programme\AutoCAD LT 2000i Deu\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://E:\Programme\AutoCAD LT 2000i Deu\AcPreview.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
_____________
Anm.
HJT Log-File in deinen BEitrag verschoben, denn nicht jeder möchte einen Anhang öffnen.

LG Cidre
S-Mod TB

Hallo,

denkbar schlimmste Konstellation...
Ein ungepatchtes und somit jungfräuliches System in Verbindung mit Filesharing.

Führe zunächst eScan AntiVirus im abgesicherten Modus aus und poste uns die Virus Log Information.

Hallo,

habe jetzt die viruslogdatei für euch.
Antivir meldet mir beim start immer, dass er den Trojaner Dldr.Zlob.am.1
in Verzeichnis C.\windows\system32\LDaxxxxx.tmp
gefunden hat, vielleicht hilft die info noch weiter.

[log]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Sep 19 09:44:40 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: No Action Taken.
Mon Sep 19 09:44:40 2005 => System found infected with UCmore adware Spyware/Adware ({44BE0690-5429-47f0-85BB-3FFD8020233E})! Action taken: No Action Taken.
Mon Sep 19 09:56:48 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.*
Mon Sep 19 09:56:48 2005 => Scanne Datei C:\Programme\AVPersonal\INFECTED\DREAMWEAVER MX 2004 -== MTN TEAM ==-.EXE.VIR
Mon Sep 19 09:57:45 2005 => Scanne Datei C:\Programme\AVPersonal\INFECTED\LDD345.TMP.VIR
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Sep 19 09:58:35 2005 => File C:\Programme\FileSubmit\Walk Like An Egyptian\NNEZTA388.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Mon Sep 19 09:58:35 2005 => File C:\Programme\FileSubmit\Walk Like An Egyptian\TBEZA127Q.exe tagged as "not-a-virus:AdWare.ToolBar.Quick.a". Action Taken: No Action Taken.
Mon Sep 19 10:09:44 2005 => File C:\Programme\QuickSearch\Uninstall_QuickSearchBar.exe tagged as "not-a-virus:AdWare.ToolBar.Quick.b". Action Taken: No Action Taken.
Mon Sep 19 10:15:31 2005 => File C:\WINDOWS\NDNuninstall6_38.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Sep 19 09:44:42 2005 => Offending Folder found: C:\PROGRA~1\edonkey2000
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~
[/log]

Hi,

habe das unter den link http://www.sophos.de/virusinfo/analyses/trojzlobi.html gefunden, reicht es aus die reg Eintragungen zu löschen um den trojaner los zu werden?

Troj/Zlob-I ist ein Trojaner, der versucht, weiteren schädlichen Code herunterzuladen.

Der Trojaner versucht, sich so einzurichten, dass er beim Systemstart aktiviert wird, indem er den folgenden Registrierungseintrag erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
notepad.exe
msmsgs.exe

Troj/Zlob-I fügt außerdem MSMSGS.EXE zu folgendem Registrierungseintrag hinzu, damit er beim Systemstart aktiviert wird:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell

Troj/Zlob-I erstellt einen Registrierungseintrag an folgender Stelle:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
uuid

Troj/Zlob-I versucht, seine Präsenz zu verheimlichen, indem er sich in EXPLORER.EXE einfügt oder sich als Dienstprozess registriert.

Troj/Zlob-I kann heruntergeladene Dateien im Unterordner LogFiles im Windows-Systemordner speichern.

Leere mal Deine temp files.
Dazu runterladen: www.clearprog.de
clearprog 1.4.1 final und clicke auf "alles löschen", dann ist Dein Troj/Zlob-I weg.
Weiterhin: leere den Quarantäne-Ordner von Antivir.
Dann Systemwiederherstellung aus, Rechner aus, Rechner wieder an, Systemwiederherstellung wieder an.
Dann laß mal Spybot S&D laufen.
Dann Dein System updaten (hat Cidre schon geschrieben)!
Dann neues Logfile von HJT und eScan posten.
Und außerdem: Hänge Deine Dateien nicht als Textfile ran, sondern poste sie einfach rein.
cacatoa

Hab es schon mal mit clearprog versucht. Die logfile die ich geschickt habe war nach clearprog.
Die Dateien im Quarantäneverzeichnis habe ich auch gelöscht, bringt aber nichts.
Das Problem ist, dass der Trojaner sofort nach dem Starten andere Viren/Adware "runterlädt".
Diese kann ich dann durch clearprog oder anderen Virenscannern wegbekommen, aber der Verursacher bleibt.

Geh vom Netz und lasse im abgesicherten Modus Spybot und AdAware SE laufen.
Dann im Anschluß wie schon gesagt noch mal einen eScan. Dann das Ergebnis reinposten.
cacatoa

hab hier nochmal den logfile, nach service pack 2 und escan:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Sep 20 00:13:44 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:45 2005 => System found infected with UCmore adware Spyware/Adware ({44BE0690-5429-47f0-85BB-3FFD8020233E})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:45 2005 => System found infected with Ezula TopText Spyware/Adware ({3c368c4a-827f-4f25-9c52-371bdf049912})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:46 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({39fda070-61ba-11d2-ad84-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:46 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({a1eedaa7-c4d8-11d2-ad9c-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:46 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({ca4fc24b-c65c-11d1-aa6f-000000000000})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:46 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({ddd136ce-517b-11d2-ad03-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:46 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({4f99a075-5227-11d2-ad06-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:46 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({371d0743-7a57-11d2-ad5a-00105a17b608})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:13:46 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({e9d55102-9683-11d2-ba68-0040053687fe})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:15:51 2005 => Scanne Verzeichniss: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\*.*
Tue Sep 20 00:42:46 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 00:44:36 2005 => Scanne Verzeichniss: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\*.*
Tue Sep 20 00:56:31 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.*
Tue Sep 20 00:56:31 2005 => Scanne Datei C:\Programme\AVPersonal\INFECTED\OPR00004.HTM.VIR
Tue Sep 20 00:56:31 2005 => Datei C:\Programme\AVPersonal\INFECTED\OPR00004.HTM.VIR infiziert von "Trojan-Downloader.JS.IstBar.t" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Tue Sep 20 12:29:26 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: Keine Aktion vorgenommen.
Tue Sep 20 12:31:18 2005 => Scanne Verzeichniss: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\*.*
Tue Sep 20 12:42:31 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.*
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Sep 20 13:35:05 2005 => File E:\Neuer Ordner\Programme\Toolbar\common.dll tagged as "not-a-virus:AdWare.WebSearch.l". Action Taken: Keine Aktion vorgenommen.
Tue Sep 20 13:35:05 2005 => File E:\Neuer Ordner\Programme\Toolbar\PIB.exe tagged as "not-a-virus:AdWare.WebSearch.i". Action Taken: Keine Aktion vorgenommen.
Tue Sep 20 13:35:05 2005 => File E:\Neuer Ordner\Programme\Toolbar\TBPS.exe tagged as "not-a-virus:AdWare.WebSearch.i". Action Taken: Keine Aktion vorgenommen.
Tue Sep 20 13:35:06 2005 => File E:\Neuer Ordner\Programme\Toolbar\toolbar.dll tagged as "not-a-virus:AdWare.WebSearch.l". Action Taken: Keine Aktion vorgenommen.
Tue Sep 20 14:19:36 2005 => File F:\media\setupdateien\programs\DivXPro511Adware.exe tagged as "not-a-virus:AdWare.Gator.3202". Action Taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Sep 20 00:13:47 2005 => Offending Folder found: C:\PROGRA~1\edonkey2000
Tue Sep 20 00:13:47 2005 => Offending Folder found: C:\DOKUME~1\Johann.S\STARTM~1\PROGRA~1\edonkey2000
Tue Sep 20 00:13:47 2005 => Offending Folder found: C:\DOKUME~1\Johann.S\FAVORI~1\online pharmacy
Tue Sep 20 00:42:49 2005 => Offending Folder found: C:\PROGRA~1\edonkey2000
Tue Sep 20 12:29:29 2005 => Offending Folder found: C:\PROGRA~1\edonkey2000
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Und was war mit Spybot und AdAware im abgesicherten Modus?
Das, was du noch an Relikten und aktiv drauf hast, sollte damit beseitigt werden. Außerdem mit Regseeker mal die Registry säubern. Dann nochmal abchecken.
cacatoa