Hallo,

ich habe ein acer-notebook und gehe mit wlan-router (passwort-gesichert) ins Internet. Bin nicht so fit in Sachen PC.
Vorzugsweise verwende ich zum Surfen Firefox.

Wenn ich mit IE ins Netz gehe öffnet sich automatisch eine Seite
http://540.filost.com/randomsites/banner.aspx
oder
http://087.filost.com/randomsites/banner.aspx

U U hat es auch etwas mit der seite
http://www7.logih.com/777/help.asp
zu tun.


Es kommt auch vor das kurz nach dem Öffnen des IE
sich von alleine ein IE-Fenster nach dem anderen öffnet.

Bevor ich raus hatte was passiert, versuchte ich natürlich
die Fenster über x links oben zu schließen.
Aber dadurch hing sich das notebook auf.

Falls dieses Problem zur Zeit auftaucht schließe ich über den
Task-manager den IEXPLORE-prozess.

Außerdem kommt manchmal die Meldung
während nutzung von ie:

EXPLORER.EXE

`Das Programm reagiert nicht

Klicken sie auf Abbrechen...usw

sofort beenden Abbrechen`

Kurz darauf geht die taskeiste mal kurz weg.

Ich hoffe ihr könnt mir helfen.

Hier mein hjt-file, eben aus C\Programme\hijackthis
ausgeführt:

Logfile of HijackThis v1.99.1
Scan saved at 21:06:02, on 07.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\USB-Access\usb_engine.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\*******\LOKALE~1\Temp\bundle.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: USB-Access Engine (USBAccessEngine) - Unknown owner - C:\Programme\USB-Access\usb_engine.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Gruß towi

wow das hast dir ja einiges eingefangen

arbeite zuerst mal das hier ab http://www.trojaner-board.de/38066-e...ightymarc.html

und poste anschliessend ein neues HJT-log

Zitat:

Zitat von erty

wow das hast dir ja einiges eingefangen

arbeite zuerst mal das hier ab http://www.trojaner-board.de/38066-e...ightymarc.html

und poste anschliessend ein neues HJT-log

Lass aber bei eScan den Haken bei nur Scannen weg, sonst wird sich dein Logfile kaum verändern Dabei können in seltenen Fällen auch wichtige Dateien gelöscht werde. Hierfür trage ich/wir keine Verwantwortung.

guten abend,

schonmal vielen dank für die anleitung. habe escan drüberlaufen lassen.
hat einiges gefunden. hier erst mal der post laut anleitung der auswertedatei
find.bat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.2
Sprache: German
C:\Dokumente und Einstellungen\Teena&Tobi\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "blazefind Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "windupdates.media pass Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "sahagent Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "adclicker 1.0 Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "windupdates.media pass Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "media pass Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "sahagent Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "media pass Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "sahagent Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "sahagent Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "deskad.service Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "media access Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "sahagent Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "ameopt Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "ameopt Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "dyfuca Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "kapabout Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "media access Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "180solutions Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "media access Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "searchrevelancy Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "180solutions Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "180solutions Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "180solutions Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "searchrevelancy Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "windupdate Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "gator-gain-claria Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "coolwwwsearch.smartsearch Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "coolwwwsearch.smartsearch Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "coolwwwsearch.smartsearch Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "coolwwwsearch.smartsearch Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "coolwwwsearch.smartsearch Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "coolwwwsearch.smartsearch Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "media access Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
System found infected with blazefind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: Einträge entfernt.
System found infected with windupdates.media pass Spyware/Adware ({1e5f0d38-214b-4085-ad2a-d2290e6a2d2c})! Action taken: Einträge entfernt.
System found infected with sahagent Spyware/Adware ({30402ff4-3e71-4a1c-9b4b-1cd3486a9fb2})! Action taken: Einträge entfernt.
System found infected with adclicker 1.0 Spyware/Adware ({54645654-2225-4455-44a1-9f4543d34546})! Action taken: Einträge entfernt.
System found infected with windupdates.media pass Spyware/Adware ({735c5a0c-f79f-47a1-8ca1-2a2e482662a8})! Action taken: Einträge entfernt.
System found infected with media pass Spyware/Adware ({15696ae2-6ea4-47f4-bea6-a3d32693efc7})! Action taken: Einträge entfernt.
System found infected with sahagent Spyware/Adware ({cde442a3-dc2c-467e-a311-b4bc775d86c5})! Action taken: Einträge entfernt.
System found infected with media pass Spyware/Adware ({00ada225-ea6c-4fb3-82e8-68189201ccb9})! Action taken: Einträge entfernt.
System found infected with sahagent Spyware/Adware ({4828c95f-c5db-4ab6-a945-8d8ec44b98a8})! Action taken: Einträge entfernt.
System found infected with sahagent Spyware/Adware ({4e570f74-deee-4fcf-b960-feefa4b8c6fc})! Action taken: Einträge entfernt.
System found infected with windupdate Spyware/Adware (ide21201.vxd)! Action taken: Einträge entfernt.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Einträge entfernt.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Einträge entfernt.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Einträge entfernt.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Einträge entfernt.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Einträge entfernt.
System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: Einträge entfernt.
System found infected with media access Spyware/Adware (mediagateway.exe)! Action taken: Einträge entfernt.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\System32\vbsys2.dll infiziert von "Trojan-Clicker.Win32.Agent.ac" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\Programme\Norton AntiVirus\Quarantine\365460B3.htm//CryptFF infiziert von "Exploit.HTML.Mht" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\Programme\Norton AntiVirus\Quarantine\03C04D7E.htm//CryptFF infiziert von "Exploit.HTML.Mht" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\Programme\Norton AntiVirus\Quarantine\04A21E86.htm//CryptFF infiziert von "Exploit.HTML.Mht" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\System Volume Information\_restore{559FEB34-A610-4FAA-81CC-E55BA9046AA8}\RP329\A0123617.dll infiziert von "Trojan-Clicker.Win32.Agent.ac" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\FOUND.010\FILE0140.CHK infiziert von "Exploit.JS.CVE-2005-1790.t" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\FOUND.010\FILE0143.CHK infiziert von "Trojan-Downloader.Win32.Ani.b" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\FOUND.010\FILE0146.CHK infiziert von "Exploit.JS.CVE-2005-1790.t" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\FOUND.010\FILE0147.CHK infiziert von "Exploit.JS.CVE-2005-1790.t" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\FOUND.010\FILE0149.CHK infiziert von "Exploit.JS.CVE-2005-1790.t" Virus. Aktion vorgenommen: Datei umbenannt.
Datei C:\FOUND.010\FILE0150.CHK//index.htm infiziert von "Trojan-Downloader.JS.Psyme.c" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\FOUND.010\FILE0151.CHK//PE_Patch//UPack infiziert von "Trojan-Downloader.Win32.Zlob.cy" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\FOUND.010\FILE0152.CHK//PE_Patch//UPack infiziert von "Trojan-Downloader.Win32.Zlob.cy" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\FOUND.010\FILE0153.CHK//PE_Patch//UPack infiziert von "Trojan-Downloader.Win32.Zlob.cq" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\FOUND.010\FILE0154.CHK infiziert von "Trojan-Downloader.Win32.Zlob.cj" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\vbsys2.dll infiziert von "Trojan-Clicker.Win32.Agent.ac" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\Recycled\Q330995.exe//UPX infiziert von "Trojan-Downloader.Win32.Small.amb" Virus. Aktion vorgenommen: Datei gelöscht.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL//UPX markiert als "not-a-virus:AdWare.Win32.Relevance.c". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
File C:\PROGRA~2\MEDIAG~1\MEDIAG~1.EXE//UPX markiert als "not-a-virus:AdWare.Win32.WinAD.bj". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
File C:\temp\bundle_cdt1006.exe//ASPack markiert als "not-a-virus:AdWare.Win32.Sahat.w". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Datei C:\Dokumente und Einstellungen\Teena&Tobi\Eigene Dateien\***\Fun\besorger(1).exe markiert als not-virus:BadJoke.Win32.Badgame. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{559FEB34-A610-4FAA-81CC-E55BA9046AA8}\RP329\A0123618.dll//UPX markiert als "not-a-virus:AdWare.Win32.Relevance.c". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
File C:\System Volume Information\_restore{559FEB34-A610-4FAA-81CC-E55BA9046AA8}\RP329\A0123619.exe//UPX markiert als "not-a-virus:AdWare.Win32.WinAD.bj". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
File C:\Program Files\DeskAd Service\DeskAdComm.dll//UPX markiert als "not-a-virus:AdWare.Win32.WinAD.m". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\ide21201.vxd
Offending file found: C:\DOKUME~1\***\LOKALE~1\temp\nero\NERODE~1\NEROME~1\NEROME~1\api\image.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\temp\nero\NERODE~1\NERO6D~1\nero\image.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\temp\nero\NERODE~1\NEROVI~1\NEROVI~1\NEROFI~1\image.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\temp\nero\rarsfx1\nero\image.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\temp\nero\rarsfx0\nero\image.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\temp\rarsfx3\nero\image.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\eigene musik\nokia music manager\metallica\load
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\tobi\anti spywarer software\adware
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\deskad service !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\media gateway !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\shopathomeselect agent !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\dyfuca !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\kapabout !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\media gateway !!!
Offending Key found: HKLM\Software\avenue media !!!
Offending Key found: HKLM\Software\media gateway !!!
Offending Key found: HKLM\Software\searchrelevancy !!!
Offending Key found: HKCU\Software\avenue media !!!
Offending Key found: HKLM\Software\policies\avenue media !!!
Offending Key found: HKCU\Software\policies\avenue media !!!
Offending Key found: HKCU\\searchrelevancy !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 95438
Gefundene Viren: 59
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 7
Anzahl der gelöschten Dateien: 148
Anzahl Fehler: 109
Dauer des Scans bisher: 01:14:15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 1:10:18,48
Batchende: 1:11:20,85





soweit.
bei "
Datei C:\Dokumente und Einstellungen\Teena&Tobi\Eigene Dateien\***\Fun\besorger(1).exe markiert als not-virus:BadJoke.Win32.Badgame. Keine Aktion vorgenommen.
"
handelte es sich tatsächlich um einen joke.

Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\eigene musik\nokia music manager\metallica\load

....keine ahnung was das bedeutet bzw warum gerade von Metallica was
aus dem Album Load?
habe seit kurzem ein neues handy. dieses habe ich eben das erste mal
mit dem pc verbunden und die nokia-software installiert usw um mir etwas musik auf das handy zu ziehen. warum gerade das mit metallica da steht???
von dem album "Load" hab ich mir auch einen titel aufs handy geschoben.


Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\tobi\anti spywarer software\adware
~~~~~~~~~~~

...das ist bzw war mal ne software glaube von zdnet.de.


gegen ende des escan vorgangs ging auch noch ein text-editor fenster auf.
titel "SYSR"

hier der inhalt:


VIRUSES FOUND IN _RESTORE FOLDER:

*******************************************************************
How to clean files in C:\System Volume Information\_restore folder
on Windows XP?
*******************************************************************

1. Right-click on the My Computer icon on your desktop and choose
the "Properties" option.

2. In the System Properties window, click on the System Restore
tab and then put a check in the box next to the
"Turn off System Restore" option and hit the "OK" button.

3. Click "Yes" in the resulting confirmation box. You may
experience a slight delay as your change is applied;
the Properties window will close automatically when
the operation is complete.

4. Run another full scan with MWAV program to verify that
your system is clean.

5. Turn On System Restore option (by following step 2).

*******************************************************************
How to clean files in C:\_restore folder on Windows ME?
*******************************************************************

1. Click Start, point to Settings, and then click Control Panel.

2. Double-click System, and then click the Performance tab.

3. Click File System, and then click the Troubleshooting tab.

4. Click to select the Disable System Restore check box, click
Apply, click to clear the Disable System Restore check box,
click Apply, and then click OK.

5. Restart the computer when you are prompted to do so. When the
computer restarts, the data store is purged and the System
Restore feature begins monitoring the system again.

MicroWorld Technologies Inc.
http://www.mwti.net


Ich denke es is ok.

so, jetzt fehlt nur noch der hjt-log:

Logfile of HijackThis v1.99.1
Scan saved at 01:50:19, on 13.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\USB-Access\usb_engine.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\***\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: USB-Access Engine (USBAccessEngine) - Unknown owner - C:\Programme\USB-Access\usb_engine.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

danke vorerst. ich wäre froh um ne rückmeldung wie s aussieht.