Trojaner-Board - Spyware - Virus/Security Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Spyware - Virus/Security Alert (https://www.trojaner-board.de/29096-spyware-virus-security-alert.html)

Spyware - Virus/Security Alert

Ich habe auf meinem Rechner seit einigen Tagen eine sehr hartnäckige Spyware, die sich bislang weder mit Spybot noch mit sonstigen mir bekannten Programmen entfernen lässt. In der Taskleiste erscheint eine Art grünes Rollstuhlsymbol, das sich mit einem roten Verbotszeichen abwechselt und manchmal eine Meldung "Your Computer is infected" einblendet, ausserdem poppt in gewissem Abstand ein Balloon auf mit der Meldung "Security Alert".

Hat jemand eine Idee, wie man diese nervigen Teile wieder los bekommt?
----------------------------------------------------
Anbei der betreffende HJT-Log:
Logfile of HijackThis v1.99.1
Scan saved at 21:37:40, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\UAService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp613A.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Anti Vir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\AdobeReader7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142538263656
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BBF1F66-48FB-4F4C-9425-A16809E36C56}: NameServer = 192.168.178.1
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: UsSecuROMer Access Service (UserAccess) - Unknown owner - C:\WINDOWS\System32\UAService.exe

Lade RegSeeker
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Gehe in die Systemsteuerung->Software und entferne Dir unbekannte Programme.
Lade und update Spybot S&D und lasse das Programm laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html

http://www.ewido.net/de/download/
Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.

Sowie ein neues HJT-Logfile.

Falls noch eine L2M-Verseuchung vorhanden ist, darum kümmern wir uns hinterher.

Hallo,
hier liegt keine L2m Verseuchung vor, sondern eher Purityscan (Panda). Von anderen AVs wird die Verseuchung auch durchaus als Backdoor bezeichnet, scheint aber eine neue Variante zu sein, da sie Kaspersky nicht findet.
Ansonsten werden die typischen Smitfraud Dateien noch in den Systemordnern herumfahren, ob die ewido findet habe ich so meine Zweifel.

Grüße Wildone

@Wildone
Schauen wir mal. Eine Grundreinigung kann ja erst mal nicht schaden. Mal sehen, was übrig bleibt.

LG
Der Felix:daumenhoc

Danke für die Hinweise, leider hat es aber bislang nicht viel gebracht...
Ewido hat lediglich ein paar Tracking Cookies gefunden, das blöde grün-rote Symbol ist immer noch da... Sogar im abgesicherten Modus taucht es auf :teufel1:

Anm: Es ist ein Programm namens SpyFighter installiert, das sich nicht deinstallieren lässt... das macht vermutlich alles, nur keine Spyware bekämpfen :-/

Hier der Ewido-Log:
--------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:59:11, 08.05.2006
+ Report-Checksumme: 33D95999

+ Scanergebnis:

C:\Dokumente und Einstellungen\Werner\Cookies\werner@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@burstnet[2].txt -> TrackingCookie.Burstnet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@hotlog[1].txt -> TrackingCookie.Hotlog : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@iv2.bluestreak[1].txt -> TrackingCookie.Bluestreak : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@metacafe.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@sel.as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@spylog[2].txt -> TrackingCookie.Spylog : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@stat.onestat[1].txt -> TrackingCookie.Onestat : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@statcounter[2].txt -> TrackingCookie.Statcounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@weborama[1].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Werner\Cookies\werner@yadro[1].txt -> TrackingCookie.Yadro : Gesäubert mit Backup

::Report Ende
----------------------------------------------
Hier der aktuelle HJT-Log:
Logfile of HijackThis v1.99.1
Scan saved at 23:10:20, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Programme\AdobeReader7.0\Reader\reader_sl.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\UAService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Werner\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp5A93.tmp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Anti Vir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\AdobeReader7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142538263656
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BBF1F66-48FB-4F4C-9425-A16809E36C56}: NameServer = 192.168.178.1
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\System32\UAService.exe

Du hattest noch mehr Aufgaben!

Öhm, ich habe eigentlich alles wie Du oben angegeben hast abgearbeitet... bei den restlichen Schitten (bspw. Spybot) gabs nur kein Log zu posten, deshalb sind sie oben nicht erwähnt ;-)

Hallo werner nuss,

downloade Dir Smitfraudfix und führe die Schritte unter "Bereinigung" durch.
Poste anschl. den Inhalt der "C:\rapport.txt" und ein Hijackthis-Logfile.

dartus

Zitat:

Zitat von dartus

Hallo werner nuss,

downloade Dir Smitfraudfix und führe die Schritte unter "Bereinigung" durch.
Poste anschl. den Inhalt der "C:\rapport.txt" und ein Hijackthis-Logfile.

dartus

Danke für den Hinweis, ich habe entsprechend der Anleitung alle Schritte durchgeführt, bislang sieht es relativ gut aus...

----------------------------------------------------------------
Hier die Logs:

a) Rappaport.txt (leider nur das vom Löschvorgang, das andere wurde dummerweise überschrieben :-/)

Code:

SmitFraudFix v2.42
 

Scan done at 20:05:10,51, 11.05.2006

Run from C:\Dokumente und Einstellungen\Werner\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600]
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 

C:\WINDOWS\system32\atmclk.exe Deleted

C:\WINDOWS\system32\dcomcfg.exe Deleted

C:\WINDOWS\system32\hp????.tmp Deleted

C:\WINDOWS\system32\ld????.tmp Deleted

C:\WINDOWS\system32\ot.ico Deleted

C:\WINDOWS\system32\regperf.exe Deleted

C:\WINDOWS\system32\simpole.tlb Deleted

C:\WINDOWS\system32\stdole3.tlb Deleted

C:\WINDOWS\system32\1024\ Deleted
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done.

b) neues HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:14:46, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\UAService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\DOKUME~1\Werner\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Anti Vir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\AdobeReader7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142538263656
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BBF1F66-48FB-4F4C-9425-A16809E36C56}: NameServer = 192.168.178.1
O20 - Winlogon Notify: winbfi32 - winbfi32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\System32\UAService.exe

Danke schon mal für die Hilfe, ich hoffe mal, dass es jetzt sauber ist ;-)

Hallo werner nuss,

fixe mit HJT (Scan mit Hijackthis, Häkchen vor eintrag und auf Fix checked klicken):
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)
O20 - Winlogon Notify: winbfi32 - winbfi32.dll (file missing)

Ewido solltest Du wieder deinstallieren.

dartus