Hallo,

einige Programme starten nur sehr langsam (z.B. Word, Excel, Norton Utilities), andere schnell, wie gewohnt (z.B. Outlook).

Habe mit Spybot gesäubert, mit AVG gescannt (ein Trojaner gefunden und gefixt) und dann mit eScan gescannt. eScan hat alles mögliche gefunden (auch Spyware ... und das nachdem ich mit Spybot gesäubert hatte - mit aktuellen Signaturen).

Hier das Resultat von eScan:

Datei C:\WINDOWS\Desktop\scanner\backups\backup-20060326-040803-986.dll infiziert von "Trojan.Win32.Toras.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File C:\WINDOWS\Desktop\scanner\backups\backup-20060326-040803-232.dll markiert als "not-a-virus:AdWare.Win32.Gator.1015". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hi-wire Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hi-wire Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hi-wire Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "commonname toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "bargainbuddy Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "bargainbuddy Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "clickspring Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hi-wire Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "istbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winpopup Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "precisionpop Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "conducent flexpak Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "universal searchbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zipitpro Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "roings Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerreg scheduler Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerreg scheduler Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "busted commercial keylogger Commercial KeyLogger" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "busted commercial keylogger Commercial KeyLogger" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\tdserver.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\GoogleNav.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\is.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\BHO.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\PremiumConnectLoad.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\MulDist.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\bridge.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\a.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\cax.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\dtc32.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\EGCOMLIB_1034.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\P2ECOM.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\videox.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\HDPlugin1015.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\ax_mjpeg.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\setglb.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\vviewer.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\BM2.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\EG_AUTH.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\WMDownload.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\NutzNavi.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\SYSTEM\mshlpa.exe infiziert von "Trojan-Downloader.Win32.Mediket.df" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.


Die angeblich bedenklichen dlls und exe-dateien kann ich allerdings auf dem Rechner nicht finden. Im nächsten Beitrag hinterlasse ich mal das HJT LogFile. Die oben in der Liste aufgeführten "backups" befinden sich in dem Ordner, in dem ich meine Scanner habe. Eins der Programme legt diese backups an ... hab schusseligerweise vergessen, welches (AVG, Spybot, Ad-Aware, cwshredder, HJT, Trojancheck).

Und hier das HJT-Logfile:

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MEDIA KEY\MAGICKEY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\MEDIA KEY\OSD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\NORTON CRASHGUARD\CGMENU.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMME\INTEL\INTEL PSNCU\CPUNUMBER.EXE
C:\WINDOWS\DITEXP.EXE
C:\PROGRAMME\AUDIOSYSTEM EWX 2496\EWXCPL.EXE
C:\PROGRAMME\RAIN\RAIN.EXE
C:\PROGRAMME\NORTON CRASHGUARD\CG16EH.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\SCANNER\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\MEDIAK~1\MAGICKEY.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4tech\Mouse\AWMMAIN.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\PROGRAMME\NORTON CRASHGUARD\CGMenu.EXE"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [IntelProcNumUtility] "C:\Programme\Intel\Intel PSNCU\CPUNumber.exe" /nosplash
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EWX 2496 ControlPanel.lnk = C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
O4 - Startup: Rain.lnk = C:\Programme\rain\Rain.exe
O4 - Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: EWX 2496 ControlPanel.lnk = C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
O4 - Global Startup: Rain.lnk = C:\Programme\rain\Rain.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global User Startup: EWX 2496 ControlPanel.lnk = C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
O4 - Global User Startup: Rain.lnk = C:\Programme\rain\Rain.exe
O4 - Global User Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - hxxp://-Web.Washer-/ie_add
O8 - Extra context menu item: &Google-Suche - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YAHOOMESSENGER.EXE
O12 - Plugin for .cgi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .com/v1/8BbWQNWKdtxEie2khyLrdqZRXNpsY-38V1kYAp6LKkvVbBT3-EeOeFxtZ0STe-Ztm8NyzC5DbQfepcqhDNl4F4MtorsBg5dqHNC6SQoh/005 VIDEO/KAROLA 001: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - hxxps://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {E89366AF-2E44-11D1-91AE-006097D602F7} (FileAccess Control) - hxxp://www41.visto.com/static/activex/vfile06.dll
O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - hxxp://vp.hearme.com/products/vp/embedded/plugins/evp.cab
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - hxxp://www.lochness.scotland.net/push.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - hxxp://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5C8E2DE3-C9BD-11D3-BAFD-009027A36778} (Lipstream3 Control) - hxxp://lipstream.www.conxion.com/customers/webcamnow/fender.cab
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - hxxp://www.buy@fiat.de/components/ocx/autopricer/configuratoreauto.cab
O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - hxxp://www.webcamnow.com/voice/voice.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - hxxp://chat.msn.com/bin/msnchat45.cab
O16 - DPF: Yahoo! Chat - hxxp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - hxxp://f012.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.114.13,85.255.112.78