Hallo,
nachdem ich jahrelang sauber geblieben bin, habe ich heute mit dem Spywarescanner von Zonealarm eine Adware gefunden die "Koowoo" hieß!
Keine Ahnung was das ist (google nichts gebracht), hab sie in Quarantäne.
Dann wurde ich mißtrauig und ließ Pestpatrol laufen. Das hat ein pest namens "PC Mighty Max v9" (auch keine Ahnung) gefunden. Auch gelöscht.

Ein bekannter empfahl mir highjackthis und dieses Forum. Es wäre toll wenn ihr mal auf den Logfile schauen könntet. Hoffe das ist alles was ihr braucht. Wenn was fehlt bitte bescheid sagen!
Vielen Dank!

Logfile of HijackThis v1.99.1
Scan saved at 17:58:09, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.123.254
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094594868359
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E9ECE7-39DC-42B4-8E86-43745E3D3BD4}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{40E9ECE7-39DC-42B4-8E86-43745E3D3BD4}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo, ich kann in deinem log nichts Auffälliges finden, d.h. aber nicht, dass die Kiste sauber ist. Prüfe bitte dein System mit Blacklight und mache einen Online-scan bei ewido (IE notw.). Poste bitte beide logs.

Wenn du den Fund von Zonealarm noch in der Qurantäne hast, werte die Datei bei virustotal.com aus und poste ebenfalls das vollständige log, incl. Dateigröße. Gruß

Ok, bin dabei!
Kannst du mir sagen, wo ich die Files finde, die ZoneAlarm in
die Quarantäne genommen hat? Im Hauptordner von ZA entdecke ich nichts!

Danke schonmal!

Zitat:

Zitat von yogi25

Kannst du mir sagen, wo ich die Files finde, die ZoneAlarm in
die Quarantäne genommen hat?

Nee, sorry, ich nutze Zonealarm nicht, aber google weiß es bestimmt

So, jetzt hab ich es!
Den QuarantäneOrdner von ZA hab ich leider nicht gefunden. Irgendjemand in einem Forum war auch auf der Suche, hat verkündet er hätte ihn gefunden und sich dann nicht mehr gemeldet und nicht gesagt, wo er ist!
Man kann es aber auch von ZA untersuchen lassen. Da steht dann das:



This program enables a remote user to control your computer. It runs in the background and opens a back door on your computer. The back door allows an unauthorized remote user to connect to and access your computer, circumventing your computer's security. When you connect to the internet, this program notifies the remote user that your computer is vulnerable. This program may also have built-in tools used to manage your files, run executables on your computer, control your mouse and CD tray, screens, and retrieve passwords, keystroke, and screen shots.


How dangerous is it?


Privacy

This program enables a remote user access to your entire computer and everything on it.

Security

This program is a major security threat. The program includes server software that allows a remote user to connect to your computer and have complete access and control over it.




Ewido spuckt dies aus:
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Adnet
Path: C:\Dokumente und Einstellungen\****\Cookies\****@ad.adnet[1].txt
Risk: Medium

Name: TrackingCookie.Goclick
Path: C:\Dokumente und Einstellungen\****\Cookies\****@c.goclick[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\***\Cookies\****@falkag[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\****\Cookies\****@ivwbox[2].txt
Risk: Medium

Name: Backdoor.Virkel.A
Path: C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe
Risk: High

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: D:\Games\Hearts of Iron2\no_time_limit_11.exe
Risk: Low

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: D:\Games Zubehör\Hearts of Iron 2\endlos.zip/no_time_limit_11.exe
Risk: Low

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: D:\Games Zubehör\Hearts of Iron 2\no_time_limit_11.exe
Risk: Low


Und Blacklight das (hoffe das ist das richtige):

11/01/06 19:29:39 [Info]: BlackLight Engine 1.0.47 initialized
11/01/06 19:29:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/01/06 19:29:40 [Note]: 7019 4
11/01/06 19:29:40 [Note]: 7005 0
11/01/06 19:29:46 [Note]: 7006 0
11/01/06 19:29:46 [Note]: 7011 1788
11/01/06 19:29:47 [Note]: 7026 0
11/01/06 19:29:47 [Note]: 7026 0
11/01/06 19:29:50 [Note]: FSRAW library version 1.7.1020
11/01/06 19:38:06 [Note]: 2000 1012
11/01/06 19:38:06 [Note]: 2000 1012
11/01/06 19:43:46 [Note]: 7007 0

Kann gut sein, dass es sich bei "Koowo" als auch hierbei

Zitat:

Name: Backdoor.Virkel.A
Path: C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe
Risk: High

um zwei false-positives handelt. Ich vermute, beide Meldungen stehen im Zusammenhang mit dem zweifelhaften live-streamclient von Synacast. (recht seltsame Website von Synacast, noch seltsamer die vom Typen, der den "evid4226patch" gebastelt hat )

Deine erste Bürgerpflicht: Überprüfe
C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe
bei virustotal.com und poste das vollständige log. Ich hoffe, die Datei ist noch vorhanden, sonst wird es schwierig.

Deine zweite Bürgerpflicht:
- Stelle über die Quarantäne den malwarefund "Koowo" wieder her. Ja, du hast richtig gelesen.
- Suche danach im Pfad c:\windows\Internet Logs nach ZALog.txt. Durchsuche das log nach "Koowo" und kopiere die entsprechenden Abschnitte (das log unterteilt in Ereignisabschnitte, bei Antispy beginnend mit "ASW"...) der Übersicht halber in ein neues Textdokument. Die ZAlog-Einträge bei "Koowo" beinhalten Registryschlüssel und ggf. Dateien.
- Suche die angegebenen Dateien und prüfe sie ebenfalls bei virustotal.com. Da vermutlich ausschließlich Registryeinträge aufgeführt sind, suche die angegebenen Schlüssel in der Registry (Start -Ausführen - Regedit) und dort die entsprechenden Pfadangaben zu den Dateien. Prüfe die Dateien bei virustotal und poste das vollständige jeder Überprüfung!

Gruß

Hi Ordell,

Synacast hat anscheinend was mit PPlive zutun. Das habe ich mal installiert, aber nie benutzt. Leider hab ich es gestern von der Platte geputzt, bevor ich deinen letzten Beitrag gelesen habe.

Koowoo habe ich wie du gesagt hast, aus der Quarantäne geholt und in der registry nachgesehen. Die drei Schlüssel verweisen auf eine Datei in C:\windows\system32\Realmediasplitter.ax!

Die Datei konnte ich in dem Ordner aber nicht finden! Bin auf "alle dateien anzeigen". WinSuche brachte auch kein Ergebniss! Was kann man noch machen?
Außerdem ist da noch ein verweis auf:
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\RarSFX0
Der Ordner ist aber auch leer!

Warum ist es so wichtig genau zu wissen was die KooWoo genau ist. Ist es nicht die Hauptsache, dass es weg ist? Was sind false positives?

Hallo,

Zitat:

Zitat von yogi25

Warum ist es so wichtig genau zu wissen was die KooWoo genau ist. Ist es nicht die Hauptsache, dass es weg ist?

Nein, oftmals sind die Veränderungen am System, die durch malware hervorgerufen wurden, verheerender, als der Schädling an sich. Deshalb bringt es auch gar nix, die malware zu "beseitigen", da das System mitunter kompromittiert bleibt, insb. bei backdoors. Keiner beseitigt Unkraut mit dem Rasenmäher. Um zu wissen, welcher Geselle sich auf dem System tummelt, brauchst du die Funde zwecks näherer Analyse. Näheres zur Kompromittierung in der Anleitung zum Neuaufsetzen von cidre (siehe faq).

Du mußt - nach gegenwärtigem Stand der Dinge - nicht neu aufsetzen! Es handelt sich imho um Fehlalarm. Mache abschließend einen Onlinescan bei Kaspersky, verwende die erweiterten Signaturen und poste das log. Gruß

btw: Wie es aussieht, gehst du über einen Router ins Netz. In diesem Fall ist der Einsatz deiner ZA mehr als überflüssig. Konfiguriere den Paketfilter des Routers vernünftig und gut is.

Hallo,

ich habe ein ähnliches problem und weiß damit gerade auch nicht weiter. Mein Norton ist im August abgelaufen und ich habe mich nicht sofort um nachschub gekümmert, dachte ein paar tage auch ohne auskommen zu können.

jedenfalls wurde nach einigen tagen mein rechner sehr langsam und es traten seltsame fehler auf. darauf hin hab ich das system durch die backup datei um 4 wochen zurückgesetzt, wodurch der rechner zwar einigermaßen wieder lief, aber andere, schlimmere probleme aufraten.

das hauptproblem ist das nutzen von programmen, so kann ich etwa iTunes gar nicht mehr verwenden, es kommt die fehlermeldung: "Das Programm "iTunes" konnte nicht geöffnet werden. Ein unbekannter Fehler ist aufgetreten (-200)." ich hab das programm zwei mal deinstalliert und wieder installiert, aber es hat nichts gebracht. allerdings muss ich dazusagen, dass ich vor dem zurücksetzen die neue version 7.0 drausfhatte und diese durch das zurücksetzen auf die alte version zurückgeändert wurde. es kann also auch damit zusammen hängen.

außerdem läuft Azureus nicht mehr zusammen mit Mozilla Firefox und anderen anwendungen. Wenn ich Azureus starte und parallel im internet surfe, geht nach ca. 10 minuten der Rechner einfach aus und ich bekomme einen weißen text auf blauem untergrund, bevor er ganz normal wieder hochfährt. das hat mein rechner bisher noch nie gemacht.

natürlich möchte ich nach all diesen fehlern mein system einfach neu aufspielen, nur möchte ich die fehler auch nicht so einfach ignorieren, schließlich läßt sich dadurch auch nicht immer alles lösen.

ich poste mal mein logfile, vielleicht hilft das ja bei der analyse.

ich denke im prinzip mit meinem system up to date zu sein, aber man kann sich irren. IE nutze ich übrigens nicht, deswegen auch keine updates. ich nutze mozilla firefox und thunderbird.

vielen dank im vorraus!



Logfile of HijackThis v1.99.1
Scan saved at 17:04:53, on 04.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\PROGRA~1\Lion\Lion.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Lion] C:\PROGRA~1\Lion\Lion.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

@Datix

Zitat:

ich habe ein ähnliches problem

Ähnliches Problem - änliche Lösung.

Zitat:

Goldene Regel 1. ....Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

Wenn du ein anderen Problem hast - bitte

Zitat:

Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem.

Falls du nichts findest, öffne einen neuen Thread. An der Stelle ist einen für TO hilfreichen Beitrag zu erwarten.