Letzte Woche fuhr mein Rechner bis zum Windows-Logon hoch ... um dann von selbst zu rebooten. Das passierte mir zweimal unabhängig voneinander. Lt. der Microsoft-Hilfe war die Wahrscheinlichkeit groß, dass es an einem Gerätetreiber liegt ... und so kam ich dann drauf, dass ich den USB-Treiber (da im Gerätemanager mit gelbem Fragezeichen versehen) neu oder nochmal installieren muss. Danach lief wieder alles wie gehabt.

Gestern dann fährt er wieder bis zum Logon hoch ... und grade als ich das PW eingeben will, kommt folgende Meldung:

Das Herunterfahren wurde von NT-AUTORITÄT/SYSTEM ausgelöst. Der Systemprozess WINDOWS/System32/services.exe wurde unerwarteterweise mit dem Statuscode xxxxxx abgebrochen. Das System wird heruntergefahren.

Was es dann auch tat ...

Das erinnerte mich gleich an einen bekannten Virus. Ich also flugs Google bemüht, um mein Wissen dahingehend mal wieder etwas aufzufrischen. Leider hab ich irgendwie nur Widersprüchliches gefunden ... ist ein Virus ... ist kein Virus. Hat mri alles nicht so wirklich weitergeholfen.

Habe dann als erstes mal mein Ad-Aware ausgegraben ... was mir auch prompt eine Datei namens sahagent.exe herausgefiltert hat. Das Ding hab ich dann sofort gelöscht ... in der Registry gab's diesbezüglich keinen Eintrag.

Die ganze Sache lässt mir jedoch keine Ruhe ... und obwohl der Virenscanner nix gefunden hat, hab ich auch nochmal HijackThis bemüht. Das brachte mir folgendes Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:17:06, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\AIM95\aim.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Samsung\Digimax Viewer 2.0\STImgBrowser.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\firebird\bin\ibguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\firebird\bin\ibserver.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Download\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65213964-9661-4A29-A1E5-7960F88FDFF4}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9E70FF-8BA7-4082-AF73-4A64E9A51B42}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{65213964-9661-4A29-A1E5-7960F88FDFF4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{65213964-9661-4A29-A1E5-7960F88FDFF4}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - FirebirdSQL Project - C:\Programme\firebird\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - FirebirdSQL Project - C:\Programme\firebird\bin\ibserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Laut dem Logfile-Check unter hijackthis.de ist da auch alles in Ordnung.

Was kann ich noch machen ... bzw. wie erlange ich nun einigermaßen Sicherheit, dass da nicht doch noch was ist? Nach was müsste ich denn suchen?

Hallo s97446,
Du könntest einen E Scan machen.
Hier ist die Anweisung dazu.
http://www.trojaner-board.de/showthread.php?t=17492&
rrlicht

OK, habe mal nen eScan gemacht. Puuuh ... war 2 Stunden am Rödeln das Ding ...

Hier mal ein "kleiner" Auszug aus dem Logfile:

Fri Nov 25 19:10:00 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Nov 25 19:10:01 2005 => Loading Spyware Signatures from new External Database (Size: 145347).
Fri Nov 25 19:10:02 2005 => Indexed Spyware Databases Successfully Created...

Fri Nov 25 19:10:31 2005 => Offending file found: C:\WINDOWS\system32\ide21201.vxd
Fri Nov 25 19:10:31 2005 => System found infected with windupdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.

Fri Nov 25 19:10:31 2005 => Offending file found: C:\DOKUME~1\MAXMUS~1\LOKALE~1\Temp\cmdlineext02.dll
Fri Nov 25 19:10:31 2005 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Fri Nov 25 19:10:31 2005 => Offending file found: C:\DOKUME~1\MAXMUS~1\LOKALE~1\Temp\insthelp.dll
Fri Nov 25 19:10:31 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Fri Nov 25 19:10:36 2005 => Offending Folder found: C:\Dok. und Einst.\Max\Eigene Dateien\fh\se
Fri Nov 25 19:10:36 2005 => Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Nov 25 19:10:37 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temp\cmdlineext02.dll
Fri Nov 25 19:10:37 2005 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Fri Nov 25 19:10:37 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temp\insthelp.dll
Fri Nov 25 19:10:37 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Fri Nov 25 19:10:39 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0todmn4h\common[1].js
Fri Nov 25 19:10:39 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:39 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0todmn4h\global[1].js
Fri Nov 25 19:10:39 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:39 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0todmn4h\stylesheet[1].css
Fri Nov 25 19:10:39 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:10:40 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0zop89q7\blank[1].htm
Fri Nov 25 19:10:40 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:10:40 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0zop89q7\common[1].js
Fri Nov 25 19:10:40 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:41 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\3e43v1oh\blank[1].htm
Fri Nov 25 19:10:41 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:10:41 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\3m8ude9s\ads[1].htm
Fri Nov 25 19:10:41 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:10:42 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\5bnn1d8e\common[1].js
Fri Nov 25 19:10:42 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:43 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\cpirs9q3\mm_menu[1].js
Fri Nov 25 19:10:43 2005 => System found infected with whenu.savenow Spyware/Adware (mm_menu[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:43 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\cpirs9q3\stylesheet[1].css
Fri Nov 25 19:10:43 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:10:44 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\cx2fgh23\common[1].js
Fri Nov 25 19:10:44 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:45 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ecsh01kl\common[1].js
Fri Nov 25 19:10:45 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:45 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\gdcjgrgb\ads[1].htm
Fri Nov 25 19:10:45 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:10:46 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\gdcjgrgb\stylesheet[1].css
Fri Nov 25 19:10:46 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:10:46 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ijafu5qf\ads[1].htm
Fri Nov 25 19:10:46 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:10:46 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ijafu5qf\global[1].js
Fri Nov 25 19:10:46 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:10:48 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\common[1].js
Fri Nov 25 19:10:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:03 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\show_ads[2].js
Fri Nov 25 19:11:03 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:04 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\stylesheet[1].css
Fri Nov 25 19:11:04 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:06 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\welcome[2].htm
Fri Nov 25 19:11:06 2005 => System found infected with whenu.savenow Spyware/Adware (welcome[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:06 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\mwhd7rvn\ads[2].htm
Fri Nov 25 19:11:06 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:06 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\mwhd7rvn\formie[1].css
Fri Nov 25 19:11:06 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:07 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qlsnyte1\global[1].js
Fri Nov 25 19:11:07 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:07 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qlsnyte1\show_ads[2].js
Fri Nov 25 19:11:07 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:07 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qz8lmtk3\ads[1].htm
Fri Nov 25 19:11:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qz8lmtk3\stylesheet[1].css
Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\skgnfd9s\ads[1].htm
Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\skgnfd9s\ads[2].htm
Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\skgnfd9s\stylesheet[1].css
Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\u1h6vy9g\ads[1].htm
Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\u1h6vy9g\common[1].js
Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:09 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\wpen4tqr\ads[1].htm
Fri Nov 25 19:11:09 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:09 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\wzp7aabh\ads[1].htm
Fri Nov 25 19:11:09 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:09 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\wzp7aabh\formie[1].css
Fri Nov 25 19:11:09 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\z8lxzso4\blank[1].htm
Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\z8lxzso4\formie[1].css
Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\z8lxzso4\ticker[1].js
Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\zt0k0737\ads[1].htm
Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\zt0k0737\ads[2].htm
Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0todmn4h\common[1].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0todmn4h\global[1].js
Fri Nov 25 19:11:11 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0todmn4h\stylesheet[1].css
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0zop89q7\blank[1].htm
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0zop89q7\common[1].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\3e43v1oh\blank[1].htm
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\3m8ude9s\ads[1].htm
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\5bnn1d8e\common[1].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\cpirs9q3\mm_menu[1].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (mm_menu[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\cpirs9q3\stylesheet[1].css
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\cx2fgh23\common[1].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ecsh01kl\common[1].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\gdcjgrgb\ads[1].htm
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\gdcjgrgb\stylesheet[1].css
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ijafu5qf\ads[1].htm
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ijafu5qf\global[1].js
Fri Nov 25 19:11:11 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\common[1].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\show_ads[2].js
Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\stylesheet[1].css
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\welcome[2].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (welcome[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\mwhd7rvn\ads[2].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\mwhd7rvn\formie[1].css
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qlsnyte1\global[1].js
Fri Nov 25 19:11:12 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qlsnyte1\show_ads[2].js
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qz8lmtk3\ads[1].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qz8lmtk3\stylesheet[1].css
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\skgnfd9s\ads[1].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\skgnfd9s\ads[2].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\skgnfd9s\stylesheet[1].css
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\u1h6vy9g\ads[1].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\u1h6vy9g\common[1].js
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\wpen4tqr\ads[1].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\wzp7aabh\ads[1].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\wzp7aabh\formie[1].css
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\z8lxzso4\blank[1].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\z8lxzso4\formie[1].css
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\z8lxzso4\ticker[1].js
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\zt0k0737\ads[1].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\zt0k0737\ads[2].htm
Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Fri Nov 25 19:11:12 2005 => Offending Folder found: C:\Dok. und Einst.\All Users\Anwendungsdaten\deutsche post\postkit\logging
Fri Nov 25 19:11:12 2005 => Object "orbitexplorer Spyware/Adware" found in File System! Action Taken: No Action Taken.


Fri Nov 25 21:20:52 2005 => ***** Scanning complete. *****

Fri Nov 25 21:20:52 2005 => Total Objects Scanned: 229562
Fri Nov 25 21:20:52 2005 => Total Virus(es) Found: 91
Fri Nov 25 21:20:52 2005 => Total Disinfected Files: 0

Und dann habe ich in der Sektion

Fri Nov 25 19:11:14 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****

noch ganz viele Einträge wie diesen hier:

Fri Nov 25 19:11:14 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\iuctl.dll". Action Taken: No Action Taken.

Und nu? Ist das System überhaupt noch von dem zeugs zu befreien ...?

... bzw. stellt sich mir aktuell die Frage, was ich mir da überhaupt alles eingefangen habe ... und was das Zeugs so anrichten kann/tut? Wenn Spyware "nur" mein Surfverhalten analysiert, so wäre das ja ein relativ kleines Problem. Doch kann ich auch irgendwie rausfinden, ob da evtl. auch etwas meine Passwörter ausspioniert hat ...?

Hallo s97446,
das kennst du ?
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
Wenn nicht fixen.
Suche dir,über Google,Spybot Search&Destroy,AdAware und Ewido security Suite,alles updaten und dann in den Abgesicherten Modus und mit allen drei Programmen Fullscan machen und laß löschen was sie vorschlagen.Danach neuer EScan aus dem Normalmodus
Irrlicht

OK ... habe das jetzt mal alles gecheckt:

Die cab-Datei konnte ich jetzt vom "Nutzen" her nicht wirklich zuordnen ... keine Ahnung, ob die für WinAmp nützlich ist oder nicht? Ich hab sie jetzt einfach mal gelöscht ... sollte WA danach nicht mehr funktionieren, dann muss ich ihn halt nochmal neu installieren

Der Scan mit Search & Destroy hat Folgendes gebracht:

- einen Eintrag "BackWeb Lite" im Verzeichnis C:\Programme\Logitech\Desktop Messenger
In Google hab ich dazu gefunden, dass Spybot BackWeb (von F-Secure) als "BackWeb lite" erkennt. Als Folge davon würde kein AV AutoUpdate von F-Secure mehr ausgeführt. Gut, nun habe ich AntiVir im Einsatz ... bin aber trotzdem nicht sicher, ob ich das Ding nun entfernen sollte!?
- einen Eintrag "Windows AdTools" im Verzeichnis ...\system32\
Die dort abgelegte Datei ide21201.vxd ist laut dieser Auflistung hier
http://www.wintotal.de/Spyware/index.php?Filter=I
wohl nichts Gutes. Ich hab sie daraufhin jetzt mal manuell entfernt ... da ich vorher ja noch checken wollte, ob es sich dabei nicht auch um einen benötigten Gerätetreiber handelt.

Allerdings finde ich - gottseidank - keine der anderen Dateien (bzw. den Ordner "Windows AdStatus"). Also weder die lt. http://www.sophos.com/virusinfo/analyses/trojmdropan.html noch die lt. http://www.sophos.de/virusinfo/analyses/trojmultidrch.html
Auch hab ich bzgl. des Backdoor.Win32.Rbot.gen bei Sophos was gefunden: http://www.sophos.de/virusinfo/analyses/w32rbotot.html
Habe sowohl C:\ als auch meine Registry mal nach dieser wupdmgr32.exe durchsucht ... keine Datei bzw. kein Eintrag!
Sollte also so aussehen, als ob da kein Trojaner aktiv geworden ist ...!?

Ewido hat dann noch 2 Sachen gefunden ... allerdings haben die mich auch etwas stutzig gemacht: Es handelte sich dabei um TrojanDownloader.IstBar.nj in der ewido-setup.exe bzw. in der uninstall.exe, die sich beide in Verzeichnissen der Ewdio Security Suite befinden. Ich hab's mal bereinigt ... gleichwohl ich irgendwie von dem Gedanken nicht abkomme, dass das harmlos war!? Nur ... warum erkennt sich das Programm selbst als Schädling ...?

Bleibt noch dieses whenu.savenow ... welches ja vom Escan gleich zigmal gefunden wurde (andere Dinge wurden ja eigentlich gar nicht gefunden ...) ... und was auch immer noch gefunden wird. Finde dazu folgende Info
http://www.reger24.de/prozesse/Save.exe.php
wobei ich nicht sicher bin, ob es auch genau das ist. Den dort genannten Registry-Eintrag habe ich nämlich auch nicht ...

Hallo s97446,
Clear pprog 1.4.1. final säubert deine temporären Files
http://www.clearprog.de/programme/clearprog/index_new.php
Hast du alle drei Proggis laufen lassen und löschen was vorgeschlagen wurde ?
Du hast etwas Adware auf der Kiste,ist aber nicht so wild.Was macht dein Fehler aus dem ersten Posting,kommt der noch ?
Irrlicht

OK. Stand ist jetzt wie folgt: Die 3 Programme finden im abgesicherten Modus nix mehr. Clearprog hab ich laufen lassen ... ebenso noch CCleaner.
Mache ich nun nen EScan, so bekomme ich noch folgende Meldungen:

Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "orbitexplorer Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\iuctl.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HL-5040" refers to invalid object ".\HL-5040". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".mir". Action Taken: No Action Taken.

Sehe es mittlerweile auch so, dass ich "nur" ein bißchen Spyware - und keinen Trojaner habe. Allerdings würde ich den Mist schon auch ganz gerne los werden ...
Die ersten beiden Einträge ... was kann ich da machen? Habe mir schon den CWShredder geholt ... der hat aber kein CoolWebSearch gefunden. Zum Orbitexplorer hab ich auch in Google nocht wirklich viel gefunden ...
Dann ist da noch dieses savenow ... was mach ich damit? Bzw. wo versteckt sich das denn?
Und diese Registry-Einträge ... sollte ich die löschen? Dachte eigentlich, das macht der CCleaner schon ...

Der Fehler aus dem ersten Posting kam nicht mehr ... hoffe, das heisst, es war nur ein Versuch, meinen Rechner zu befallen ...!?

Hallo s 97446,
Ich vermute stark das die "WhenU" Einträge in den Quarantäneordner der drei Programme sind.Leere diese Ordner.Denn sowohl Spybot als auch Ewido finden WhenU und machen ihn platt.Zum Reste putzen, jetzt noch Regseeker laden und Registrierung säubern.Achte darauf das die Wiederherstellung eingeschaltet ist(links unten,Haken setzen).
http://www.hoverdesk.net/freeware.htm
Du kannst dann bedenkenlos alles löschen,was angegeben wird.
Irrlicht

OK ... habe das mit dem RegSeeker mal gemacht. Hat mir auch ca. 570 Einträge angezeigt, die ich dann gelöscht hab.
Dann hab ich noch nach den Quarantäne-Ordnern gesucht ... wobei ich einen solchen nur bei ewido gefunden habe!? Habe aber auch den mal gelöscht.

Bei erneutem eScan erscheinen nun aber nach wie vor sowohl diese Einträge hier

Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "orbitexplorer Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

als auch die Registry-Einträge ...

Zitat:

Zitat von s97446

Bitte tue solche Äuglein nicht mehr . Wenn du kategorisch gegen das Neuaufsetzen bist, musst du wohl mit diesen Überresten leben.

Na ja ... wenn es nur die Reste in Form von wirkungslosen Einträgen sind - mit denen kann ich leben. Ich wollte nur nochmal nachhaken, inwiefern diese Einträge nicht noch Rückschlüsse auf vorhandene Spyware zulässt!? Bzw. was mich auch wundert: Diese Einträge müssen ja irgendwie entstanden sein. Nur wo sind die entsprechenden Übeltäter hin ... wenn ich sie doch nicht mit Spybot, Ewido, etc. gefunden bzw. gelöscht habe ...?

Was sagst Du dazu, irrlicht ...?