Hallo! Habe mir durch einen Trojaner den lästigen Eintrag in der Registry eingefangen, der bei jedem Programmstart (WIN-ME) meckert, dass er die Datei IBM00001.EXE nicht finden kann.
Mein Virenscanner hat den Trojaner komplett entfernt, auch ADAWARE findet nichts mehr dazu. Nur diese lästige Meldung beim Windows-Start bekomme ich einfach nicht weg. Kann mir bitte jemand helfen? - 1000-Dank!
Hier mein aktuelles HJT-Log-File:


Logfile of HijackThis v1.99.1
Scan saved at 14:27:10, on 30.04.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\WZCBDL SERVICE\WZCBDL9X.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TRAFFICMONITOR\TRAFFICMONITOR.EXE
D:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\D-LINK\AIR USB UTILITY\AIRCFG.EXE
C:\WINDOWS\SYSTEM\E_S4I0S2.EXE
C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\TGEB\TGEB.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\MOZILLA THUNDERBIRD\THUNDERBIRD.EXE
D:\TORRENT\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O7 "EPUSB1:" /M "Stylus C66"
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [WZCBDLService] C:\Programme\WZCBDL Service\WZCBDL9X.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE" autostart
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: eBay - Powersuche - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay - Startseite - D:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay - Mein eBay - D:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: Google Suche starten - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche - D:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: amazon Suche - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - D:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm

Zitat:

Nur diese lästige Meldung beim Windows-Start bekomme ich einfach nicht weg. Kann mir bitte jemand helfen?

1. Start > Ausführen > regedit.exe
2. Bearbeiten > Suchen > IBM00001.EXE
3. Funde löschen

Hallo MightyMarc!
Ein Scan in der Registry hat leider nichts gebracht, denn der Begriff ist nicht gefunden worden.

Lade RegSeeker
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!

[Einschub]
ME verarbeitet doch sicher noch die autoexec.bat, oder?
[/Einschub]

RegSeeker habe ich schon laufen lassen und dabei auch ein paar Einträge löschen können. Das Problem besteht jedoch weiterhin.
Die autoexec.bat ist unverändert und ohne Auffälligkeiten.

scheduling agent?

Öffne mal die mstask.exe und schau dort mal nach. Vllt ist die ibmxyz.exe als Task eingetragen.

Btw eine Suche in der Registry bringt nicht? Hast Du mit dem vollen Namen gesucht? Wenn ja versuche es nochmal nur mit "ibm".

Sorry, aber ME habe ich übersprungen...

Habe den Begriff *ibm* in allen möglichen Varianten in der Registry gesucht - leider ohne Erfolg.
Die mstask.exe hab ich eben mit Komando edit geprüft, auch hier kein Eintrag auf den Begriff "ibm" oder ähnliches, ausserdem Datum d. letzten Speicherung vom Juli 2001. - Oder muss ich die mstask anders prüfen, um den Task-Scheduler zu sehen?

mstask.exe mit edit geöffnet

Der Task-Scheduler sorgt z.B. für Updates und Backups. Die Verknüpfung "Geplante Tasks" ist unter Start->Zubehör->Systemprogramme zu finden.

Diese Verknüpfung sollte afair ein Programmfenster öffnen, welches die geplanten Tasks anzeigt.

Aber vllt solltest Du mal warten bis hier jemand auftaucht, der sich mit den DOS-basierten Windowsversionen noch auskennt. Mir ist so etwas seit mindestens 4 Jahren nicht mehr begegnet.

Edit:

Du könntest bei sysinternals.com mal nach autostarts schauen. Ob das für Win9x/ME funzt weiss ich nicht, dass wirst Du aber sehen.

Die geplante Tasks" unter Start->Zubehör->Systemprogramme sind leer - kein Eintrag. Darum habe ich mir direkt das exe File angesehen, ob hier eine Änderung zu erkennen ist, aber dem ist nicht so.

Hallo,

erstelle & poste doch mal ein "Silent Runners"-Logfile, evtl. ist daraus etwas ersichtlich.

@sky99
ich bitte selten darum, aber wenn Du definitiv keine Lust auf format c:\ hast, arbeite bitte eScan-Anleitung durch. Ich fand hier die Beschreibung, bin aber mir nicht sicher, dass die besagten Orden bei ME vorhanden sind.

Hallo Haui!
Hier das LOgfile vom SilentRunner, kannst Du was kritsches erkennen?

"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows Me (Millennium Edition)
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"EPSON Stylus C66 Series" = "C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"" ["SEIKO EPSON CORPORATION"]
"TuneUp MemOptimizer" = ""C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE" autostart" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"PCHealth" = "C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"TrafficMonitor" = "C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE" ["Mirko Böer"]
"EPSON Stylus C66 Series" = "C:\WINDOWS\SYSTEM\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O7 "EPUSB1:" /M "Stylus C66"" ["SEIKO EPSON CORPORATION"]
"InCD" = "D:\Programme\Ahead\InCD\InCD.exe" ["Nero AG"]
"avgctrl" = ""C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min" ["Avira GmbH"]
"WheelMouse" = "C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE" ["A4Tech Co.,Ltd."]
"CloneCDTray" = ""D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."]
"CmUsbSound" = "RunDll32 cmcnfgu.cpl,CMICtrlWnd" [MS]
"D-Link Air USB Utility" = "C:\Programme\D-Link\Air USB Utility\AirCFG.exe" ["D-Link"]
"tcactive" = "C:\PROGRAMME\THE CLEANER\tca.exe" ["MooSoft Development"]
"tcmonitor" = "C:\PROGRAMME\THE CLEANER\tcm.exe" ["MooSoft Development"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"StillImageMonitor" = "C:\WINDOWS\SYSTEM\STIMON.EXE" [MS]
"KB891711" = "C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE" [MS]
"SchedulingAgent" = "mstask.exe" [MS]
"schedm" = ""C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"" ["Avira GmbH"]
"WZCBDLService" = "C:\Programme\WZCBDL Service\WZCBDL9X.exe" ["D-Link"]
"*StateMgr" = "C:\WINDOWS\System\Restore\StateMgr.exe" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
PerUser_CVT_Inis\(Default) = "Windows Setup - FAT32-Konvertierung"
\StubPath = "rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL" ["Adobe Systems Incorporated"]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "EpsonToolBandKicker Class"
\InProcServer32\(Default) = "C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL" ["SEIKO EPSON CORPORATION"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = (no title provided)
-> {HKLM...CLSID} = "PCTools Browser Monitor"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\TOOLS\IESDPB.DLL" ["PC Tools"]
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = (no title provided)
-> {HKLM...CLSID} = "PCTools Site Guard"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\TOOLS\IESDSG.DLL" ["PC Tools"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {HKLM...CLSID} = "Nero Shell Extension Property Sheet"
\InProcServer32\(Default) = "D:\Programme\Ahead\nero\neroshx.dll" ["Ahead Software AG"]
"{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "D:\PROGRA~1\ERASER\ERASEXT.DLL" ["-"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "D:\PROGRAMME\REAL\REALPLAYER\RPSHELL.DLL" ["RealNetworks, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL" ["("]
"{6B19FEC2-A45B-11CF-9045-00A0C9039735}" = "Registered ActiveX Controls"
-> {HKLM...CLSID} = "Registered ActiveX Controls"
\InProcServer32\(Default) = "D:\PROGRAMME\MICROSOFT VISUAL STUDIO\COMMON\MSDEV98\BIN\IDE\DEVXPGL.DLL" [MS]
"{D545EBD1-BD92-11CF-8772-00A0C9039735}" = "Developer Studio Components"
-> {HKLM...CLSID} = "Developer Studio Components"
\InProcServer32\(Default) = "D:\PROGRAMME\MICROSOFT VISUAL STUDIO\COMMON\MSDEV98\BIN\IDE\DEVXPGL.DLL" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "D:\PROGRAMME\WINACE\arcext.dll" ["e-merge GmbH"]
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "D:\PROGRA~1\ERASER\ERASEXT.DLL" ["-"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL" ["("]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]
TheCleaner\(Default) = "{2DE506B9-4320-11d3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "D:\PROGRAMME\WINACE\arcext.dll" ["e-merge GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQLITE\ICQLITESHELL.DLL" ["("]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "D:\PROGRA~1\ERASER\ERASEXT.DLL" ["-"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SHLEXT.DLL" ["H+BEDV Datentechnik GmbH"]
TheCleaner\(Default) = "{2DE506B9-4320-11D3-8E42-002035221EDA}"
-> {HKLM...CLSID} = "The Cleaner"
\InProcServer32\(Default) = "C:\Programme\The Cleaner\tcshellex.dll" ["MooSoft Development"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\Welle.jpg"


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]
"PCHealth-Planer für die Zusammenstellung der Daten" -> launches: "C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL" ["SEIKO EPSON CORPORATION"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "D:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\PROGRAMME\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL" ["SEIKO EPSON CORPORATION"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}\
"ButtonText" = "eBay - Homepage"
"CLSIDExtension" = "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
-> {HKLM...CLSID} = "Toolbar Extension for Executable"
\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\SHDOCVW.DLL" [MS]
"Exec" = "D:\Programme\IrfanView\Ebay\Ebay.htm" [null data]

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {HKLM...CLSID} = "PCTools Browser Monitor"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\TOOLS\IESDPB.DLL" ["PC Tools"]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"
[Strings]: SAFESITE_VALUE="ie.search.msn.de"
[Strings]: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 3 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
HIJACK WARNING! "TuneUp" = "file://C|/WINDOWS/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON USB Printer Port Monitor\Driver = "EPUSBMN.DLL" ["SEIKO EPSON CORPORATION"]
EPSON V5 Monitor\Driver = "EBPMON.DLL" ["SEIKO EPSON CORPORATION"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 25 seconds, including 13 seconds for message boxes)

Zitat:

WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found]

Das ist der Eintrag.
Entfernen solltest du das Ganze so können: Start -> Ausführen -> sysedit -> [Enter] -> SYSTEM.INI auswählen und nur den Eintrag "ibm00001.exe" entfernen, also Explorer.exe etc. stehen lassen!
Ob du das Risiko, diese Datei zu editieren auf dich nehmen willst, bleibt dir aber selbst überlassen

TREFFER!!
Habe in der system.ini den Verweis gefunden und entfernt:

SYSTEM.INI
[boot]
INFECTION WARNING! "shell=explorer.exe ibm00001.exe" [MS], [file not found]

Haui, der Tipp mit dem SystemRunner war Klasse - Vielen, vielen Dank!