Hi,
da ich mit Onlinebanking arbeiten möchte habe ich meinen Pc durchforstet (Kaspersky) und div. Onlinscanner: 2 verdächtige Downloads gelöscht!
Ich habe dann mit hijack zwei Einträge gefunden: dscrss.exe und mcaffeshild.exe!
Habe beide gefixt jedoch nicht direkt zum löschen gefunden.
Meine Frage: war das OK? bzw.
ist er noch immer verseucht? Es sind verdammt viele Einträge
Besten dank im vorraus für die Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 00:30:29, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Programme\TVFM\QuickTV.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Esel Prog\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINUSBDVCE ] C:\autoprotect.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [ISUSPM Startup] c:\progra~1\gemein~1\instal~1\update~1\isuspm.exe -startup
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: QuickTV.lnk = C:\Programme\TVFM\QuickTV.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... xmk043YYAT
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.8-2.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c46.cab
O16 - DPF: {BE9B2B7C-6680-44E6-9F51-05384AD9C2FF} (MapConnect Control) - http://a1navi.mywayfinder.com/MapConnect.ocx
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Programme\YAMAHA\MidRadio Player\midradio.ocx
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe

Der ist immer noch verseucht. Bitte mit dem Onlinebanking noch warten.

PIN und TAN niemals auf dem PC speichern! Aber das weißt du sicher.

Edit:
Name: Mcafee Auto Protect
Command: mcafeshield.exe
Description: Added by the W32/RBOT-UH WORM!

Hallo@Manfredo

http://virus-protect.net/datfindbat.html
poste die 4 logs hier (2 Monate vom Datum her reichen)

Hi,
Danke für die rasche Antwort!
hier die logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC36-0AD7

Verzeichnis von C:\WINDOWS\system32

12.10.2005 10:59 22.571 nvapps.xml
11.10.2005 15:41 2.206 wpa.dbl
05.10.2005 09:36 2.301.792 MRT.exe
17.09.2005 23:47 317.952 FNTCACHE.DAT
29.08.2005 13:27 520.968 LegitCheckControl.DLL
29.08.2005 13:27 23.304 GWFSPidGen.DLL
21.08.2005 23:21 49.152 pxhpinst.exe
21.08.2005 23:21 245.760 pxdrv.dll
15.06.2005 17:20 176.128 nvudisp.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC36-0AD7

Verzeichnis von C:\DOKUME~1\Manfred\LOKALE~1\Temp

12.10.2005 12:14 420 MSI55fa4.LOG
12.10.2005 10:59 16.384 ~DF413B.tmp
12.10.2005 10:59 3.691 hph8
12.10.2005 00:20 81.920 ~DFA0A2.tmp
11.10.2005 23:58 16.384 ~DFC04D.tmp
11.10.2005 23:58 3.691 hph7
11.10.2005 23:39 16.384 ~DFCA42.tmp
11.10.2005 23:38 3.691 hph6
11.10.2005 22:23 81.920 ~DFBDF9.tmp
11.10.2005 19:35 25.775 HC22A4.tmp
11.10.2005 19:35 169.574 TMVAINFO.xml
11.10.2005 19:35 506 VS_REPORT
11.10.2005 19:35 803 SPYWARE_REPORT.DAT
11.10.2005 19:35 25.817 HC2285.tmp
11.10.2005 17:56 14 WST.txt
11.10.2005 13:33 16.384 ~DFA8BE.tmp
11.10.2005 13:33 3.691 hph5
11.10.2005 13:33 16.384 ~DFE306.tmp
11.10.2005 13:33 16.384 ~DFE2FC.tmp
11.10.2005 13:14 3.691 hph4
11.10.2005 09:32 3.691 hph3
11.10.2005 08:40 3.691 hph2
10.10.2005 13:31 5.964 ~$L2Grf.grt
10.10.2005 12:34 0 ~$L2Grf.grc
10.10.2005 12:34 0 ~$L2Dat.grb0
10.10.2005 12:34 0 ~$L2Dat.gra0
10.10.2005 12:34 0 ~$L2Grf.grb
10.10.2005 12:34 0 ~$L2Grf.gra
11.07.2005 12:48 71.344 A~NSISu_.exe
27.02.2005 23:44 72.748 _iu14D2N.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC36-0AD7

Verzeichnis von C:\WINDOWS

28.03.2075 05:27 380 Faces.prf
12.10.2005 12:11 1.235 win.ini
12.10.2005 11:50 202 NeroDigital.ini
12.10.2005 11:01 2.392 setupapi.log
12.10.2005 11:00 157 wiadebug.log
12.10.2005 11:00 50 wiaservc.log
12.10.2005 11:00 0 0.log
12.10.2005 10:59 51 iTouch.ini
12.10.2005 10:59 2.048 bootstat.dat
12.10.2005 02:20 32.630 SchedLgU.Txt
11.10.2005 21:35 231 system.ini
11.10.2005 19:35 4 RM_RESULT.DAT
11.10.2005 19:35 679 TSC.ini
11.10.2005 17:57 170 GetServer.ini
11.10.2005 17:55 1.142.784 TMUPDATE.DLL
11.10.2005 17:55 69.689 UNZIP.DLL
11.10.2005 17:55 208.896 PATCH.EXE
10.10.2005 13:31 28 Linz2002.INI
10.10.2005 11:41 16.007.135 VPTNFILE.885
10.10.2005 11:41 16.007.135 lpt$vpn.885
06.10.2005 23:23 120 eMCrypt.INI
06.10.2005 10:47 2.369.010 tsc.ptn
05.10.2005 14:04 87.555 iis6.log
05.10.2005 14:04 15.546 ntdtcsetup.log
05.10.2005 14:04 27.134 tsoc.log
05.10.2005 14:04 3.181 tabletoc.log
05.10.2005 14:04 11.758 KB893803.log
05.10.2005 14:04 8.975 netfxocm.log
05.10.2005 14:04 2.337 ocmsn.log
05.10.2005 14:04 2.707 msgsocm.log
05.10.2005 14:04 48.634 FaxSetup.log
05.10.2005 14:04 21.230 msmqinst.log
02.10.2005 00:12 3.386.984 tmadce.ptn
19.09.2005 14:50 71 Pex.INI
18.09.2005 13:06 953.164 ntbtlog.txt
11.09.2005 18:48 151 PhotoSnapViewer.INI
26.08.2005 04:18 3.321 713xTV.ini
11.08.2005 05:11 43.339 TMVAmain.ptn

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC36-0AD7

Verzeichnis von C:\

12.10.2005 15:57 0 sys.txt
12.10.2005 15:56 9.374 system.txt
12.10.2005 15:53 1.867 systemtemp.txt
12.10.2005 15:45 126.232 system32.txt
12.10.2005 10:59 1.207.959.552 pagefile.sys
04.10.2005 18:42 312 WmpLog.txt
11.07.2005 10:27 190 TEMP.MID
23.06.2005 22:21 17.762 dvdfabexpress_burn.log
23.06.2005 22:18 6.872 dvdfab_burn.log

lg. Manfredo

http://virus-protect.net/onlinescan.html
mache bitte einen Onlinescan mit panda und berichte

danach:
Bitdefender/Online

Hallo Nikita,
4 x Spyware gefunden
kann ich die jetzt suchen und einfach löschen?


Adware:adware/wupd No disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\MediaGatewayX.dll
Adware:adware/gator No disinfected C:\PROGRAMME\GEMEINSAMEDATEIEN\GMT
Adware:adware/powerstrip No disinfected
WindowsRegistry
Adware:Adware/WUpd No disinfected C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll

hab mal nachgeschaut:
1ter und 4ter: Eintrag kann das sein das es nur ein File ist? (nur eins gefunden)
2 ter Eintrag nur einen leeren Ordner gefunden!
3 ter Eintrag Reg. nicht gefunden?

BitDefender hat nichts gefunden!

lg. Manfredo

Hi,
habe folgendes über erweiterte Suche gefunden:

mcafeshield.exe.q_00_q und
_mcafeshield37B0

beide in:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
und eine Verknüpfung in:
C:\Dokumente und Einstellungen\Manfred\Recent

nur über: DSCRSS habe ich nichts gefunden
beide hatte ich ja gefixt

lg. Manfredo

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\PROGRAMME\GEMEINSAMEDATEIEN\GMT
C:\WINDOWS\DOWNLOADED PROGRAM FILES\MediaGatewayX.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan

PC neustarten

loeschen:--> du kannst es mit der Killbox suchen und loeschen, oder manuell:
mcafeshield.exe.q_00_q
_mcafeshield37B0

scanne mit Kaspersky + berichte
http://virus-protect.net/onlinescan.html

Hi Nikita,
Kaspersky hat nichts mehr gefunden

den Ordner gibt es immer noch, jedoch ohne Mcafeshield:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan

hast du noch was von meinen hijack Eintrag gefunden?
gibt´s noch Tipps zur Verbesserten Sicherheit?
als Ergänzung: ich habe einen Router D-LINK DI 604, jedoch die Routereigene Firewall im Originalzustand (glaube nicht aktiv), habe mich noch zuwenig damit befasst!
Ich habe auch über offene Ports einiges gelesen und kontrolliert:
cmd\netstat -ano
dabei sind einige Einträge mit abhören:
0.0.0.0.445 =Microsoft-ds
0.0.0.0.135 =svchost

usw.
ist das normal?

noch eines fällt mir auf:
bei Taskmanager sieht man immer (alle 3 sec.) ein pendeln der Systemleistung, von Leerlauf 99% System 0% auf Leerlauf 75% System ~25%, also immer abwechselnd ohne das ich was arbeite!
das tritt ständig auf!!
hast du auch hierzu eine Idee?

Danke nochmals für deine spitzen Hilfe!

lg. Manfred

Hi nochmal,

Security Task Manager:
System PID4:
sendet an ......(mein PC) auf Port 0, lauscht auf microsoft-ds, netbios-ns, netbios-dgm!

was kann das sein

lg. Manfredo

SecTaskMan ist Malware und muss geloescht werden

(am besten im abgesicherten Modus) ..F8 druecken, wenn der PC hochfaehrt und sich als Administrator anmelden.
Dort muesste man das loeschen koennen.

windowsdoorcleaner --> schliesse alle Ports, vor allem die netbios, ist ein sicherheitsrisiko
http://virus-protect.net/windsdoorcleaner.html

Infos (ganz unten--- netbios)
http://virus-protect.net/malware.html

Hi Nikita,

SecTaskMan erfolgreich gelöscht!
gef. Ports geschlossen
scheint alles OK
nur das Problem mit Port null (wie oben beschrieben, mit den starken Leistungsschwankungen) habe ich noch nicht im Griff!
netbios ist aber weg!!
Security Task Manager schreibt:
Es wurde ein Port geöffnet, um Informationen von außen zu empfangen oder dorthin zu senden. Bitte stellen Sie fest, um welches Programm es sich handelt. Mit einer guten Firewall kann die Verbindungen blockiert werden.
kann man erkennen um was es sich handelt, wie gesagt alle 2-3 sec. starke Prozessorbelastung(bis 25%)

hängt das vielleicht mit dem Installshield Update Manager zusammen? Wie kann ich den deinstallieren (möchte ich sowieso loswerden)!

hier noch mal mein Logfile

Logfile of HijackThis v1.99.1
Scan saved at 14:14:35, on 14.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\HPHipm09.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\TVFM\QuickTV.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\WINDOWS\System32\svchost.exe
D:\Esel Prog\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liwest.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINUSBDVCE ] C:\autoprotect.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: QuickTV.lnk = C:\Programme\TVFM\QuickTV.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... xmk043YYAT
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c46.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {BE9B2B7C-6680-44E6-9F51-05384AD9C2FF} (MapConnect Control) - http://a1navi.mywayfinder.com/MapConnect.ocx
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Programme\YAMAHA\MidRadio Player\midradio.ocx
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe

nochmals vielen Dank für deine Bemühungen

lg. Manfredo

nimm aus dem Autostart:

O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

das ist malware:

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... xmk043YYAT
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c5.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c46.cab

PC neustarten

ClaerProg..lade die neuste Version
http://virus-protect.net/temp.html
und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

ewido
http://virus-protect.net/ewido.html

je mehr Tools du aktiv hast, desto mehr port werden geoeffnet.
P.s : IncrediMail soll Spyware sein, ich haette das nicht gern auf dem PC.....


Portscann und andere Sicherheitschecks
http://virus-protect.net/firewalls.html

Process Explorer
http://virus-protect.net/windowsdienste2.html