Bitte wer kann helfen.

Habe problem bei einem Rechner welches ich nicht lösen kann - bitte um hilfe - hier mein log.

Danke im voraus

Logfile of HijackThis v1.98.2
Scan saved at 13:49:17, on 08.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\CAP3RSK.EXE
C:\WINNT\System32\CAPRPCSK.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPPSWK.EXE
C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3LAK.EXE
C:\msoffice\Office\1031\msoffice.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ginmic\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://solongas.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\system32\search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINNT\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gemdatnoe.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://approvedlinks.com/hp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Gemdat NÖ
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {72861361-3B14-4DB7-AABE-5370D6F81D7E} - C:\WINNT\System32\len.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CAP3ON] C:\WINNT\System32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [CAPON] C:\WINNT\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINNT\System\MSMSGSVC.exe
O4 - Global Startup: Canon LBP-810-Statusfenster.LNK = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPPSWK.EXE
O4 - Global Startup: Fenêtre d'état Canon LBP-810.LNK = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPPSWK.EXE
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: K.I.M. Updateroutine.lnk = C:\kim\kimupd\Kimupd32.exe
O4 - Global Startup: kim.bat.lnk = C:\kim.bat
O4 - Global Startup: Microsoft Office.lnk = C:\msoffice\Office\OSA9.EXE
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3LAK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gemdatnoe.at
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = strasshof.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DE44426-D809-4809-ABC3-A356F314E16E}: NameServer = 10.254.239.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = strasshof.local
O18 - Filter: text/html - {43820C22-DCEC-495A-8F15-96AA8615D613} - C:\WINNT\System32\len.dll
O18 - Filter: text/plain - {43820C22-DCEC-495A-8F15-96AA8615D613} - C:\WINNT\System32\len.dll

Hallo, marvel,
Du hast nicht nur ein Problem...
Folgendes mußt Du mit HijackThis im abgesicherten Modus (beim Starten F8 drücken) mit deaktivierter Systemwiederherstellung fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\system32\search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINNT\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINNT\System\MSMSGSVC.exe

Dann folgende DAteien manuell löschen:
C:\WINNT\system32\search.html
C:\WINNT\system32\searchbar.html
C:\WINNT\System\MSMSGSVC.exe

Wenn dir nicht bekannt, dann auch folgendes fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://solongas.com/main/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gemdatnoe.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://approvedlinks.com/hp.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.gemdatnoe.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DE44426-D809-4809-ABC3-A356F314E16E}: NameServer = 10.254.239.10
Den Server kannst Du hier checken.

Desweiteren empfehle ich dir, ebenfalls im abgesicherten Modus, einen
eScan durchzuführen (genau lesen) und das Ergebnis und ein neues HJT-Logfile hier reinzuposten.
Ansonsten IE updaten, Sufverhalten überdenken.

vielen dank für deine hilfe

da hat einer meiner kollegen mal wieder ganz schön mist gebaut - sollte halt nicht dort surfen wo er nichts verloren hat

aber nichts desto trotz, muß ich jetzt das wegkriegen.

wie schalte ich die systemwiederherstellung bei windows 2000 aus?

bei xp ist das ja leicht

marvel, sorry,
habe nur SP 2 gelesen...
brauchts bei Win2K nicht. Aber updaten glaub´ich, wär auch mal gut, oder?
cacatoa

vielen dank für deine hilfe

soll ich nicht diese zeile auch fixen?


O2 - BHO: (no name) - {72861361-3B14-4DB7-AABE-5370D6F81D7E} - C:\WINNT\System32\len.dll

Und was ist mit diesen zeilen? ist diese len.dll harmlos?

O18 - Filter: text/html - {43820C22-DCEC-495A-8F15-96AA8615D613} - C:\WINNT\System32\len.dll
O18 - Filter: text/plain - {43820C22-DCEC-495A-8F15-96AA8615D613} - C:\WINNT\System32\len.dll

Hi,
der Prozess wird als "eventuell gut" bezeichnet. Wenn du Sorge drüber hast, dann scanne doch die Datei mal online.
Wenn Du von dort eine Meldung bekommst, kannst Du immer noch dagegen vorgehen.
Poste hier rein, was rauskommt.
cacatoa

Dies gehört auch gefixt und die Datei manuell im abg. Modus gelöscht.

danke für eure hilfe - werd ich heute nachmittag alles machen und hoffe es klappt dann wieder - poste dann auch neues logfile zur überprüfung - wär nett wenn ihr mir dann wieder sagt ob es dann ok ist, danke schon mal im voraus

noch was anderes, warum krieg ich immer wenn ich hier etwas schreibe von meinen av-programm (mcaffee) die meldung das er ein trojanisches pferd entdeckt hat?

ist dann aber gar nicht so

nochmal zu meinem problem. also ich arbeite auf einem windows xp rechner, hab aber noch nicht das sp2 eingespielt

bekomme die meldung vom mcaffee:

newreplay.php erkannt als exploit-urlspoof.gen - trojanisches pferd - säuberung fehgeschlagen
dasselbe mit
showthread.php

liegt jetzt auf C: im quarantäne-ordner - lässt sich aber nicht löschen - warum?

hier das logfile von meinen rechner zu meinen "problem"!?!


Logfile of HijackThis v1.98.2
Scan saved at 11:07:17, on 09.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CAP3RSK.EXE
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Dokumente und Einstellungen\pasrol\Anwendungsdaten\zm??.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\RauchFrei\RauchFrei.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\pasrol\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.strasshofandernordbahn.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gemdatnoe.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/4q00cdt/0407/kb2.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Gemdat NÖ
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKCU\..\Run: [Saoe] C:\Dokumente und Einstellungen\pasrol\Anwendungsdaten\zm??.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RauchFrei] "C:\Programme\RauchFrei\RauchFrei.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Canon LBP-810-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: K.I.M. Updateroutine.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\msoffice\Office10\OSA.EXE
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\msoffice\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://gemdatnoe.at
O15 - Trusted Zone: *.datakom.at
O15 - Trusted Zone: *.gdn.at
O15 - Trusted Zone: *.gemdatnoe.at
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - http://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = strasshof.local
O17 - HKLM\Software\..\Telephony: DomainName = strasshof.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{8793AAFF-C067-434D-8EB2-93C2E932AF4C}: NameServer = 10.254.239.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = strasshof.local

Hallo, marvel,
Das Updaten auf SP 2 soltest Du Dir vornehmen. Ebenso den IE updaten.
Folgendes solltest du im abgesicherten Modus bei deaktivierter Systemwiederherstellung mit HJT fixen:
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: K.I.M. Updateroutine.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - http://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

folgende Datei manuell löschen:
C:\WINDOWS\web\related.htm

Wenn Dir nicht bekannt, dann ebenfalls fixen:
O14 - IERESET.INF: START_PAGE_URL=http://gemdatnoe.at
O15 - Trusted Zone: *.datakom.at
O15 - Trusted Zone: *.gdn.at
O15 - Trusted Zone: *.gemdatnoe.at

Das ist aber jetzt ein anderer Rechner als beim ersten Logfile, oder?
Grüße cacatoa

dank dir für deine analyse cacatoa, werd ich machen
allerdings haben die computertechniker von uns gemeint, dass es mit sp2 probleme beim netzwerk geben kann, sie arbeiten an einer eigenen lösung

den ie werd ich aber mal updaten,

und ja, das ist ein anderer rechner, meiner nämlich

noch eine - hoffentlich (für dich) - letzte frage:

diese beiden Zeilen - soll ich die wirklich fixen?
Image Transfer ist, soweit ich weiss, von unserer Digitalkamera ein Programm und das KIM Updateroutine ist von unserer Computerfirma eine software um deren "KIM"-Programme upzudaten - die fragezeichen irritieren mich allerdings auch

O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: K.I.M. Updateroutine.lnk = ?

vielen dank im voraus
marvel

zu dumm, jetzt ist mir noch was eingefallen,

wenn ich alles gemacht habe, ist der quarantäne-ordner dann leer? Oder wie krieg ich den leer, wie lösche ich dort die einträge, den bis jetzt schreit jedesmal wenn ich ihn aufmachen sofort der mcaffee und entfernen ist nicht möglich bekomme ich als meldung wenn ich versuche die einzelnen .php zu löschen

danke