Trojaner-Board - Trojaner TR/Zlob.IT.3

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Zlob.IT.3 (https://www.trojaner-board.de/28175-trojaner-tr-zlob-it-3-a.html)

Zu überprüfende Datei: virus.exe

virus.exe Ok

Statistiken:
Bekannte Viren: 187321 Updated: 10-04-2006
Größe der Datei (Kb): 13 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Also,laut dem Scan ist mit der datei nichts besonderes?!

Was ich noch vergessen hatte zu sagen,es existierte keine datei in dem Verzeichnis "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe"
Die Datei "lsass.exe" ist im Verzeichnis "C:\WINDOWS\ServicePackFiles\i386" bei mir zu finden.Wenn ich irgendwas nicht gerallt habe oder zu verplant bin sag es ruhig!;)
Gruß,David

Hallo,
kann ich mir eigentlich nicht vorstellen das die in Ordnung ist. Versuche es später noch mal bei virustotal und/oder schicke sie mit Passwort verpackt an newvirus@kaspersky.com (falls du das nicht hin bekommst kommen wir da später noch mal drauf zurück).

Jetzt mach mal folgendes:
Start>>Ausführe cmd eingeben und dort
dir /s /a "c:\?xplorer.exe*.*" > c:\find.txt & start notepad c:\find.txt

und poste was erscheint.

Edit

Zitat:

Du bist verplant. :D
Die einzige lsass.exe die ein Virus sein könnte (oder wahrscheinlich ist) ist die unter diesem Pfad:
C:\PROGRA~1\COMMON~1\MCROSO~1.NET\
alle anderen sind harmlos. Und die muss da sein, da sie läuft. Aber kommen wir auf die Datei später nochmal zurück.

Grüße Wildone

Wenn ich cmd eingebe erscheint das Fenster "C:\WINDOWS\SYSTEM32\cmd.com",allerdings kann ich dort weder etwas eingeben,es sonst irgendwie beeinflussen,und grade erschien eine Fehlermeldung,und es beendete sich von selbst.
Gruß,David
EDIT: Okay,wusste ichs doch dass ich irgendwie veplant bin!!!Ist halt nicht so mein Fall das ganze PC Gewurschtel!:D

Es befindet sich unter diesem Pfad aber keine Datei,tausendprozentig.Deswegen habe ich sie ja unter "Start--->Suchen" eingegebn und sie fand sich in den Service Pack Files wieder.:dummguck:

Hallo,
sch* noch mal, richtig du hast ja noch ein dritte Problem.

Jetzt besorgst du dir erst mal killbox und löschst folgende Dateien on reboot:

C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\AdService.bat
C:\WINDOWS\system32\wnsapicc.exe
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\0.log
C:\WINDOWS\mtuninst.exe

C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\YAXUninst.exe
(die beiden letzten nur falls vorhanden)

Grüße Wildone

So,hab alles gemacht wie in der Beschriebung stand.Und nun?

Hallo,
jetzt machst du noch mal das hier:

Zitat:

Start>>Ausführe cmd eingeben und dort
dir /s /a "c:\?xplorer.exe*.*" > c:\find.txt & start notepad c:\find.txt

und poste was erscheint.

Grüße Wildone

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von c:\WINDOWS

04.08.2004 09:57 1.035.264 explorer.exe
1 Datei(en) 1.035.264 Bytes

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

02.04.2003 14:00 1.007.104 explorer.exe
1 Datei(en) 1.007.104 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 09:57 1.035.264 explorer.exe
1 Datei(en) 1.035.264 Bytes

Verzeichnis von c:\WINDOWS\?dobe

27.03.2006 18:51 409.600 ?xplorer.exe
1 Datei(en) 409.600 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 3.487.232 Bytes
0 Verzeichnis(se), 51.667.152.896 Bytes frei

Gruß!!

Hallo,
hätte zwar ein anderes Ergebnis erwartet, aber nun gut.

Gehe in den abgesicherten Modus und lösche den Ordner c:\WINDOWS\?dobe (könnte auch als C:\Windows\Adobe angezeigt werden), aber achte darauf nur den Ordner mit dem Datum 27.03.2006 zu löschen!

Dann postest du mal nochmal ein neues HijackThis Logfile und nochmal die vier Logfiles der Datfind.bat

Grüße Wildone

HJT Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 17:11:57, on 10.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/startcenter/redirect/fla-vod-0409-legalundgenial.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpA4F5.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Tcot] "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe" -vt ndrv
O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.5/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E2308B-CBA8-4C77-B63F-5FEF26A45E0B}: NameServer = 217.237.151.225 217.237.150.225
O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

datfind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\WINDOWS\system32

09.04.2006 12:14 13.646 wpa.dbl
28.03.2006 17:09 285.312 FNTCACHE.DAT
26.03.2006 15:20 380.350 perfh009.dat
26.03.2006 15:20 391.000 perfh007.dat
26.03.2006 15:20 52.764 perfc009.dat
26.03.2006 15:20 63.580 perfc007.dat
26.03.2006 15:20 897.954 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
18.02.2006 13:29 3.089 MRT.INI
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll
02.01.2006 21:05 62.464 bszip.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp

10.04.2006 17:12 512 ~DF30A3.tmp
10.04.2006 17:12 512 ~DF308A.tmp
10.04.2006 17:12 16.384 ~DF3098.tmp
10.04.2006 17:12 512 ~DF3071.tmp
10.04.2006 17:12 16.384 ~DF3063.tmp
10.04.2006 17:12 16.384 ~DF307F.tmp
10.04.2006 17:12 512 ~DF3055.tmp
10.04.2006 17:12 16.384 ~DF304A.tmp
10.04.2006 17:11 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}5054.html
10.04.2006 17:10 16.384 ~DF8EFC.tmp
10.04.2006 17:10 49.152 ~DF8F65.tmp
10.04.2006 17:09 16.384 ~DF8F55.tmp
10.04.2006 17:09 16.384 ~DF8BFF.tmp
10.04.2006 17:09 512 ~DF8B97.tmp
10.04.2006 17:09 16.384 ~DF8A5D.tmp
10.04.2006 17:09 512 ~DF8A05.tmp
10.04.2006 17:09 16.384 ~DF89EF.tmp
10.04.2006 17:09 16.384 ~DF344B.tmp
10.04.2006 17:09 512 ~DF201F.tmp
10.04.2006 17:09 16.384 ~DF2014.tmp
10.04.2006 17:08 16.384 Perflib_Perfdata_3a0.dat
10.04.2006 17:07 666 jusched.log
10.04.2006 16:52 409 NDr2E.tmp.html
10.04.2006 16:47 409 NDr29.tmp.html
10.04.2006 16:42 409 NDr27.tmp.html
10.04.2006 16:30 16.384 ~DFA6E6.tmp
10.04.2006 16:15 16.384 ~DF94D3.tmp
10.04.2006 16:15 16.384 ~DF94BA.tmp
10.04.2006 16:15 16.384 ~DF94A1.tmp
10.04.2006 16:15 16.384 ~DF9488.tmp
10.04.2006 15:43 409 NDr26.tmp.html
10.04.2006 15:31 16.384 ~DFA6AA.tmp
10.04.2006 15:31 16.384 ~DF8A4E.tmp
10.04.2006 14:56 409 NDrA1.tmp.html
10.04.2006 14:45 409 NDr9D.tmp.html
35 Datei(en) 368.130 Bytes
0 Verzeichnis(se), 51.661.811.712 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\WINDOWS

10.04.2006 17:07 0 0.log
10.04.2006 17:06 1.936.308 WindowsUpdate.log
10.04.2006 17:06 2.048 bootstat.dat
10.04.2006 16:59 301.884 ntbtlog.txt
10.04.2006 16:56 32.566 SchedLgU.Txt
10.04.2006 14:12 178.894 setupact.log
06.04.2006 22:27 205.964 wmsetup.log
06.04.2006 16:28 216 wiadebug.log
06.04.2006 15:41 50 wiaservc.log
06.04.2006 15:27 9.300 DtcInstall.log
31.03.2006 18:56 95 winamp.ini
31.03.2006 18:14 49 NeroDigital.ini
31.03.2006 15:02 28.292 setupapi.log
19.02.2006 16:22 30.236 spupdsvc.log
18.02.2006 13:31 169.391 comsetup.log
18.02.2006 13:31 101.930 ntdtcsetup.log
18.02.2006 13:31 74.165 iis6.log
18.02.2006 13:31 24.316 ocmsn.log
18.02.2006 13:31 1.374 imsins.log
18.02.2006 13:31 186.896 tsoc.log
18.02.2006 13:31 12.949 KB911927.log
18.02.2006 13:31 24.263 msgsocm.log
18.02.2006 13:31 245.997 ocgen.log
18.02.2006 13:31 473.901 FaxSetup.log
18.02.2006 13:31 22.636 updspapi.log
18.02.2006 13:31 1.374 imsins.BAK
18.02.2006 13:31 9.581 KB911564.log
18.02.2006 13:31 10.118 KB911565.log
18.02.2006 13:30 9.083 KB913446.log
09.02.2006 23:15 34 cdplayer.ini
10.01.2006 22:23 10.134 KB908519.log
06.01.2006 04:01 11.035 KB912919.log
01.01.2006 04:05 1.032.563 setupapi.log.0.old

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC4C-70F6

Verzeichnis von C:\

10.04.2006 17:14 0 sys.txt
10.04.2006 17:14 9.226 system.txt
10.04.2006 17:13 2.037 systemtemp.txt
10.04.2006 17:12 95.858 system32.txt
10.04.2006 17:06 402.653.184 pagefile.sys
10.04.2006 16:44 810 find.txt
10.04.2006 14:12 3.632 smitfiles.txt

Gruß,David

Hallo,
sieht, bis auf ein paar Sachen, jetzt besser aus.

Gehe mal unter Systemsteuerung>>Software und deinstalliere einen Eintrag(Falls vorhanden) WhenU oder WhenUSave o.ä.

Fixe (Haken davor und auf "fix checked" ) mal folgende Einträge mit HijackThis:
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpA4F5.tmp (file missing)
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Tcot] "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe" -vt ndrv
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - hxxp://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - hxxp://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Inst all3.5/Installer.exe
O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing)

Falls vorhanden löschst du noch den Ordner C:\Programme\Save\

Die Datei C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe ist übrigens immernoch vorhanden, du weißt schon das diese ~1 für beliebig folgende Zeichen steht (Also der Ordner C:\Programme\Common Files\... heißen wird)

Besorge dir mal noch Ewido, scanne damit das System und Poste den Report.

Außerdem machst du mal noch einen Onlinescan bei Panda (mit dem IE) und berichtest was gefunden wird.

Grüße Wildone

Das der Ordner "C:\Programme\Common Files\" heißt ist mir klar,jedoch finde ich in ihm einfach nichts.Komisch."WhenuSave" war auch nicht auffindbar,allerdings wurde es eben beim systemscan gelöscht,kann mich aber erinnern das vor ein par monaten schon entfernt zu haben.Naja,ich begebe mich ebend unter die Dusche (solange vorm PC zu sitzen ist anstrengend;) )
Sobald der report fertig ist,poste ich den natürlich direkt.Aber nochmal DANKESCHÖN dass du die ganze Zeit auf dich nimmst um mir zu helfen,RESPEKT!!!Also bis gleich,
Gruß,David

Ewido Report:
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:36:39, 10.04.2006
+ Report-Checksumme: 91AF26EC

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MEDIATICKETSINSTALLER.MediaTicketsInstallerCtrl.1 -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\ClickSpring -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaTickets -> Adware.PurityScan : Gesäubert mit Backup
HKLM\SOFTWARE\WhenUSave -> Adware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\WhenUSave\Partners -> Adware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\WhenUSave\Partners\EEPE -> Adware.SaveNow : Gesäubert mit Backup
HKU\S-1-5-21-1993962763-1958367476-1801674531-1006\Software\IST -> Adware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1993962763-1958367476-1801674531-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@ad.adition[1].txt -> TrackingCookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@media.fastclick[1].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@revenue[1].txt -> TrackingCookie.Revenue : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@smm.valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\David\Cookies\david@valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert mit Backup

::Report Ende

Hallo,
sieht ja schonmal recht sauber aus, dann noch das Ergebnis von Panda. Und die lsass.exe macht mir immernoch Sorgen.

Grüße Wildone