Trojaner-Board - bw2.exe und dann gings los

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - bw2.exe und dann gings los (https://www.trojaner-board.de/12004-bw2-exe-dann-gings-los.html)

bw2.exe und dann gings los

habe am 10.01. um 01.19 eine Website besucht und mich dort wohl infiziert. Jedenfalls entdeckte ich neben einigen anderen Besonderheiten bw2.exe mit diesem Datum und Uhrzeit.

Alle Versuche in der Zwischenzeit die Plage wieder loszuwerden schlugen leider fehl. Kurze Zeit nach dem Einwählen werden Downloads gestartet, nach Browserstart werden Seiten aufgerufen (überwiegend blödsinnige Inhalte), meinen IE habe ich wohl so deformiert, dass der jetzt überhaupt nicht mehr online will (bleibt offline auch bei Eingabe "guter" Adressen).

Was kann ich tun?

@ gn8

mit welchem Browser bist Du denn hier? Welches Betriebssystem hast Du? Aber erstelle erstmal ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

Zitat:

Zitat von Shadowdance

@ gn8

mit welchem Browser bist Du denn hier? Welches Betriebssystem hast Du?

Firefox 1 unter w2k

Zitat:

Zitat von Shadowdance@ gn8

Aber erstelle erstmal ein Hijack This Logfile und poste es mittels copy&paste

Bitteschön:

Logfile of HijackThis v1.99.0
Scan saved at 13:35:36, on 12.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\PGPserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\HPCD-W~1\DirectCD\directcd.exe
C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bagh.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bagh.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\HPCD-W~1\DirectCD\directcd.exe
O4 - HKLM\..\Run: [HP CD-Writer] C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD7C8A54-D3BB-4B5F-B514-69FE7C82A4A2}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit\AVKWCtl.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINNT\system32\PGPserv.exe

Herzlichen entnervten Gruß, Wolf

@ gn8

überprüfe mit dem online-scan von Kaspersky:

C:\WINNT\system32\PGPserv.exe

teile uns das Ergebnis der Überprüfung mit.

Zitat:

Zitat von Shadowdance

@ gn8
überprüfe C:\WINNT\system32\PGPserv.exe
teile uns das Ergebnis der Überprüfung mit.

Zu überprüfende Datei: PGPServ.exe Ok

Gruß, Wolf

@ gn8

kannst Du bitte sicherheitshalber den eScan - laut Anleitung im Link - durchführen? Der eScan muss in einem neuen Ordner "bases" auf C:\ laufen.

Poste dann das Ergebnis, also die Namen der Viren und deren Anzahl .. wie folgt:
öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) und gib dies mit an:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wed Jan 12 15:05:54 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:06:46 2005 => File C:\WINNT\system32\dknmpntw.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:07:11 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:07:11 2005 => File C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:07:12 2005 => File C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:08:04 2005 => File C:\WINNT\system32\wrcsapi.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:08:05 2005 => File C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:20:53 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:21:45 2005 => File C:\WINNT\system32\dknmpntw.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:14 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:14 2005 => File C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:15 2005 => File C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:22:58 2005 => File C:\WINNT\system32\sabcsp.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:23:17 2005 => File C:\WINNT\system32\wrcsapi.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:23:18 2005 => File C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:24:17 2005 => File C:\DOKUME~1\WOLF-D~1\LOKALE~1\TEMPOR~1\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.

Wed Jan 12 15:24:18 2005 => ***** Scanning complete. *****

Wed Jan 12 15:24:18 2005 => Total Files Scanned: 3963
Wed Jan 12 15:24:18 2005 => Total Virus(es) Found: 9

Zitat:

Wed Jan 12 15:24:18 2005 => Total Files Scanned: 3963

Das ist im Leben kein Kompletter Scan!

Das sieht nach dem aus, was verschiedene Suchmaschinen zu bw2.exe sagen: Syware/Adware. Hast du schonmal Adaware oder Spybot probiert?

und nun noch die Links zu Sagamore's Tipp ;-)

--> hier findest Du die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3'.

Zitat:

Zitat von Shadowdance

und nun noch die Links zu Sagamore's Tipp

Vielen Dank Euch allen, inzwischen habe ich mit 5 verschiedenen Programmen gescannt, gelöscht was zu löschen angeraten war, aber ich komme nicht wirklich weiter, nach jedem Neustart ist die Verpestung wieder da, jede Anwahl ins Netz bringt den ungewünschten Traffic, was noch passiert entzieht sich meiner Kontrolle.

Jedoch: das Papierkorbsymbol zeigt "gefüllt". Beim Öffnen jedoch keine Dateien. Beim "Leeren" werde ich nach dem Wunsch 2 Dateien zu löschen gefragt. Trotz Bestätigung bleiben die wohl drin, denn sofortige Neuleerung bringt wieder die gleiche Frage. Anscheinend sind 2 Dateien im Papierkorb, die die Wiederherstellung der Pest bewirken, die sich weder ansehen noch löschen lassen. Der MSIE geht auf und zeigt mir die unerwünschtesten Seiten, selbst Firefox läd in weiteren Tabs mal diese und mal jene Seite.

Hat jemand dazu eine Idee?

@ gn8

==> boote in den abgesicherten Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bagh.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bagh.de/
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll

boote in den normalen Modus.

==> sende bitte diese Datei passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Ich würde gerne erfahren, ob es sich um Malware handelt:

C:\WINNT\system32\PGPserv.exe

==> Erstelle ein neues Hijack This Logfile und poste es.

Zitat:

Zitat von Shadowdance

fixe mit Hijack This
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

mehrfach erfolglos genau so gemacht, immer wieder da.

Zitat:

Zitat von Shadowdance

wenn Du diese Einträge nicht kennst/brauchst,

die Einträge sind mir bekannt und machen Sinn.

Zitat:

Zitat von Shadowdance

Ich würde gerne erfahren, ob es sich um Malware handelt:
C:\WINNT\system32\PGPserv.exe

Datei ist mir bekannt, gehört zu PGP, soll ich sie dennoch an Christian senden?

Gerade einen neuen Scan gemacht mit folgenden Ergebnissen (gekürzt um die überflüssigen Angaben, dafür aber diesmal komplett):

Thu Jan 13 17:02:07 2005

Version 4.8.1
(C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\mwavscan.com)
Latest Date of files inside MWAV: 12 Jan 2005 07:00:52.
Virus Database Date: 2005/01/12
Virus Database Count: 115286

not-a-virus:AdWare.Look2Me.u
not-a-virus:AdWare.Sahat.f
not-a-virus:AdWare.Zestyfind
I-Worm.Klez.h
I-Worm.Bagle.gen
I-Worm.NetSky.c
I-Worm.Bagle.at
I-Worm.Mydoom.g
I-Worm.Klez.e
I-Worm.BadtransII
I-Worm.Tanatos.a
I-Worm.NetSky.b

Thu Jan 13 20:35:56 2005
***** Scanning complete. *****
Total Files Scanned: 218605
Total Virus(es) Found: 50
Total Errors: 9
Time Elapsed: 03:32:58
Virus Database Date: 2005/01/12
Virus Database Count: 115286

Danke für die Unterstützung, Wolf

@ gn8

Zitat:

Zitat von gn8

Total Virus(es) Found: 50

diese Art wie Du es angegeben hast, nützt uns nichts. Mache es bitte so: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

.. auch wenn Du meinst, dass es unnütze Arbeit ist.

Zitat:

Zitat von Shadowdance

@ gn8 diese Art wie Du es angegeben hast, nützt uns nichts. Mache es bitte so: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

.. auch wenn Du meinst, dass es unnütze Arbeit ist.

Die Arbeit hatte ich mir sowieso gemacht, will den Müll ja wieder loswerden, wollte hier nur überflüssigen Zierat vermeiden.

Die Viren machen mir in den Mailarchiven keine Probleme, lese nur im Textmodus und öffne Anhänge nicht. Sie sind teilweise auch schon sehr lange an den Stellen. Es geht um die Adware, die ich einfach nicht los werde: der Papierkorb bleibt optisch gefüllt, ich kann ihn nicht leeren und nicht sehen was drin ist.

Soll ich PGPServe.exe noch verschicken?

Thu Jan 13 17:02:07 2005

Version 4.8.1
(C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\mwavscan.com)
Latest Date of files inside MWAV: 12 Jan 2005 07:00:52.
Virus Database Date: 2005/01/12
Virus Database Count: 115286

Thu Jan 13 17:07:55 2005
C:\WINNT\system32\fjamebuf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

C:\WINNT\system32\iOsperf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\obeprn.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxcsapi.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\temp.fr2EE3 infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\WOLF-D~1\LOKALE~1\TEMPOR~1\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\Andrea Trenner\erledigt\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Sent\MESSAGES.TBB infected by "I-Worm.Klez.e" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Trash\MESSAGES.TBB infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\erledigt\MESSAGES.TBB infected by "I-Worm.BadtransII" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\kobinet\MESSAGES.TBB infected by "I-Worm.Tanatos.a" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\lebenshilfe\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\mailadmin\MESSAGES.TBB infected by "I-Worm.NetSky.b" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\Sent\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Lokale Einstellungen\Temp\temp.fr2EE3 infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\fjamebuf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\iOsperf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\obeprn.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
C:\WINNT\system32\wxcsapi.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Thu Jan 13 20:35:56 2005
***** Scanning complete. *****
Total Files Scanned: 218605
Total Virus(es) Found: 50
Total Errors: 9
Time Elapsed: 03:32:58
Virus Database Date: 2005/01/12
Virus Database Count: 115286