zipzappromos - dialer? virus? - Bitte Hilfe
 

Hallo,
folgendes Problem tritt bei einem Kollegen auf:
Sobald Internetverbindung besteht, taucht nach kurzer Zeit ein Fenster "www.zipzappromos.com" auf, mit der "Einladung" bestimmte Seiten (Porno, Glücksspiel u.s.w.) mittels einer anderen (teureren) Verbindung zu besuchen. Das Fenster lässt sich schließen, taucht aber nach kurzer Zeit erneut auf.
Adaware meldet nach jedem Internetbesuch neue critical objects, die zwar entfernt werden können (Versuche auch im abgesicherten Modus), jedoch nach erneuter Herstellung einer Internetverbindung wieder auftauchen.

Ich füge Hijackthis-Log bei und habe auch ESCAN im abgesicherten Modus durchgeführt. Die Ergebnisse von ESCAN (infected und tagged) sind ebenfalls beigefügt.

Ich hoffe auf eure Hilfe.

Beste Grüße
Steffi

P.S.: Habe gerade festgestellt, dass das Logfile von Hijack nur den SP1 anzeigt. Der XP-SP2 ist auf diesem Rechner jedoch installiert worden ?!

Logfile of HijackThis v1.99.1
Scan saved at 16:32:33, on 22.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\S3tray2.exe
C:\WINDOWS\SYSTEM32\HOTKEY.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\DOKUME~1\EIGENT~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\msiexec.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.afribone.net.ml:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [HOTKEY.EXE] C:\WINDOWS\SYSTEM32\HOTKEY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O4 - HKCU\..\Run: [] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binarie...ia32_FR_XP.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binarie...SS_1058_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binarie...lv32_FR_XP.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


ESCAN:
Tue Mar 22 15:38:45 2005 => File c:\windows\system32\atbqgdfmh.exe infected by "not-a-virus:AdWare.NaviPromo.d" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:39:02 2005 => File C:\WINDOWS\wingoon.exe infected by "not-a-virus:PornWare.Dialer.Lagoon" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:39:10 2005 => File C:\WINDOWS\system32\EGCOMLIB_1035.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:39:17 2005 => File C:\WINDOWS\system32\EGDACCESS_1058.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:40:46 2005 => File C:\WINDOWS\system32\msclock32.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:40:47 2005 => File C:\WINDOWS\system32\msplock32.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:44:07 2005 => File C:\WINDOWS\system32\EGCOMLIB_1035.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:44:14 2005 => File C:\WINDOWS\system32\EGDACCESS_1058.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:44:14 2005 => File C:\WINDOWS\system32\EGDACCESS_1058.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:45:49 2005 => File C:\WINDOWS\system32\msplock32.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:50:48 2005 => File C:\WINDOWS\wingoon.exe infected by "not-a-virus:PornWare.Dialer.Lagoon" Virus. Action Taken: No Action Taken.

Tue Mar 22 16:07:54 2005 => File C:\System Volume Information\_restore{4A6AFB32-45AD-4E59-BC43-3FCC59E6AF1D}\RP1\A0000008.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 16:07:54 2005 => File C:\System Volume Information\_restore{4A6AFB32-45AD-4E59-BC43-3FCC59E6AF1D}\RP1\A0000022.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 16:07:55 2005 => File C:\System Volume Information\_restore{4A6AFB32-45AD-4E59-BC43-3FCC59E6AF1D}\RP1\A0000027.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.

Tue Mar 22 16:07:55 2005 => File C:\System Volume Information\_restore{4A6AFB32-45AD-4E59-BC43-3FCC59E6AF1D}\RP1\A0000034.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.

Tue Mar 22 16:07:56 2005 => File C:\System Volume Information\_restore{4A6AFB32-45AD-4E59-BC43-3FCC59E6AF1D}\RP1\A0000043.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 16:07:58 2005 => File C:\System Volume Information\_restore{4A6AFB32-45AD-4E59-BC43-3FCC59E6AF1D}\RP2\A0000057.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 16:07:59 2005 => File C:\System Volume Information\_restore{4A6AFB32-45AD-4E59-BC43-3FCC59E6AF1D}\RP2\A0000071.dll infected by "not-a-virus:AdWare.NaviPromo.c" Virus. Action Taken: No Action Taken.

Tue Mar 22 15:39:11 2005 => File C:\WINDOWS\system32\netia32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.h. No Action Taken.

Tue Mar 22 15:39:26 2005 => File C:\WINDOWS\system32\netslv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.l. No Action Taken.

Tue Mar 22 15:44:07 2005 => File C:\WINDOWS\system32\netia32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.h. No Action Taken.

Tue Mar 22 15:44:23 2005 => File C:\WINDOWS\system32\netslv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.l. No Action Taken.

@Monschi
system und IE updaten
systemwiederherstellung deaktivieren
alle porn dialer auf diskette speichern zwecks beweismittel gegen hohe telefonrechnungen
wechsle danach in den abgesicherten modus und fixe mit HJT
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binari...tia32_FR_XP.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binari...ESS_1058_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binari...slv32_FR_XP.cab
diese dateien manuell löschen
c:\windows\system32\atbqgdfmh.exe
C:\WINDOWS\wingoon.exe
C:\WINDOWS\system32\EGCOMLIB_1035.dll
C:\WINDOWS\system32\EGDACCESS_1058.dll
C:\WINDOWS\system32\msclock32.dll
C:\WINDOWS\system32\msplock32.dll
danach neu booten,
systemwiederherstellung aktivieren, neues HJT logfile posten
dein viriler freund soll mal sein surfverhalten überdenken ;)
chaosman

Hallo Chaosman,

schon mal danke für die schnelle Antwort. Werde morgen die Anweisungen ausführen.
Aber noch mal Nachfrage: SP2 wurde bereits installiert (hab ich selbst gesehen) und Features von SP2 sind auch zu sehen (z. B. Sicherheitscenter). Deshalb wurndert es mich, dass Hijackthis nur SP1 anzeigt. Kann da bei der Installation von SP2 was schiefgegangen sein?
Und zum zweiten: "Mein viriler Freund" ist mir als ziemlich vorsichtig und sicherheitsbewusst bekannt, von daher wundert mich dieses gehäufte Auftreten von entsprechenden Viren sehr. Und da ich ja selbst vor gar nicht allzu langer Zeit von solchen Viren betroffen war und genau weiss, dass ich nicht auf solchen kritischen Seiten rumgesurft bin, frage ich mich langsam, ob man sich überhaupt noch wirksam schützen kann.
Ach ja, den Mozilla Firefox habe ich bei ihm schon mal installiert. Er wird ihn künftig auch benutzen.
Bis morgen also mit dem neuen Log.
Grüße aus Bamako
Steffi

Rehi,
habe die Anweisungen (fast alle) ausgeführt. Wo finde ich das SP 2 für den Internet Explorer? Auf meinem eigenen Laptop ist es ja installiert, würde es gerne für diesen hier kopieren - aber was muss ich da nehmen/suchen??
Folgende Probleme (?) tauchen jetzt noch auf:
1. Nach Neustart erscheint zunächst ein Fenster "Rundll" mit der Meldung: "Fehler beim Laden von EGCOMLIB_1035.dll - Das angegebene Modul wurde nicht gefunden"

2. Als nächstes wird der Windows Installer gestartet mit der Meldung "Preparing to install ...", weiteres Fenster "Setup" erscheint mit der Meldung "This MSI must be launched through setup"

3. Probleme bei der Suchfunktion:
Wenn ich nach Dateien oder Ordnern suchen will, tut sich nix beim Anklicken dieser Suchoption, sprich das Suchfenster zum Eingeben des Suchbegriffs öffnet sich nicht. Klicke ich dagegen auf "nach Bildern, Musik oder Videos suchen" bzw auf "Dokumente" wird das Suchfenster geöffnet.

4. Der gestern installierte Mozialla Firefox gibt es nach dem Start eine Warnung "www.google.com konnte nicht gefunden werden. Bitte überprüfen Sie den Namen und versuchen Sie es erneut."

Irgendwie ist mir so, als wäre da noch nicht alles in Ordnung. Wäre also für weitere Hilfestellung dankbar. Aktuelles Log ist beigefügt.

Beste Grüße
Steffi

Logfile of HijackThis v1.99.1
Scan saved at 12:26:13, on 23.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3tray2.exe
C:\WINDOWS\SYSTEM32\HOTKEY.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\EIGENT~1\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.afribone.net.ml:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [HOTKEY.EXE] C:\WINDOWS\SYSTEM32\HOTKEY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [atbqgdfmh] c:\windows\system32\atbqgdfmh.exe -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O4 - HKCU\..\Run: [] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hallihallo -
wollte meine Antwort nur noch mal in Erinnerung bringen :-)
Frohe Ostern
Steffi