Hallo Leute!

Bräuchte dringend Hilfe!

Aaaalso, ich fahre meinen PC hoch und alles scheint normal. Mein Hochfahr-Wallpaper wird gestartet, alle Symbole tauchen in der Tasleiste auf, Firewall braucht etwas seeehr lange. Auf einmal verschwindet der Virenscanner (AVG) aus der Taskleiste. Und ich warte vergeblich auf meine Desktop-Items und mein Wallpaper. Erst nach ein paar Minuten taucht alles auf und msvc32.exe verlangt laut meiner Zonelabs Firewall Zugang aufs Internet, was ich verweigere, weil es nix gutes ist laut Internet. Ich versuche, den Virenscanner zu starten, der sich entweder gar nicht öffnen läßt bzw. sich sofort wieder schließt. Auch die Registry läßt sihc nicht öffnen bzw crasht sofort wieder. Nur im Safe Mode gehts.

Jedenfalls such ich in der registry, was alles unter "Run" steht. Und außer eben diesem msvc32.exe sind da auch noch zwei merkwürdige Sachen, die ich nirgends im Internet gefunden habe. GUBLW.exe und immappi.exe, beide in WINNT, immappi in system32. Keine Ahnung was des is. msvc32 hab ich rausgelöscht, aber es hilft nix, es is trotzdem noch unter running processes (außer halt im safe mode) und ich kanns nicht schließen.

Im Internet steht, dass dieses msvc32 von der Spyware ClientMan kommt, aber ich hab genau nach Anweisungen nach Registry Einträgen desselben gesucht und nix dergleichen gefunden. Auch das empfohlene Removal Tool hat diese file nicht gefunden, sondern nur ein paar unwichtige Tracking Sachen.

Der PC rumort die ganze Zeit im Hintegrund, als ob er mordsbeschäftigt wär. grml.

Ich poste mal die Prozesse:

SMSS.EXE
CSRSS.EXE
WINLOGON.EXE
SERVICES.EXE
LSASS.EXE
svchost.exe
spoolsv.exe
ati2evxx.exe
svchost.exe --- 12 620 KB
msvc32.exe
regsvc.exe
mstask.exe
stisvc.exe
atiptaxx.exe
rundll32.exe
explorer.exe
WinMgmt.exe
svchost.exe
svchost.exe
IEXPLORE.EXE
TASKMGR.EXE
OSA.EXE
realsched.exe
zlclient.exe
winampa.exe
atix10.exe
12popup.exe
rundll32.exe
vsmon.exe --- 23 840 KB!!!! (was isn des eigentlich???)

Bitte bitte vielleicht kann mir ja jemand helfen.......

MfG,
die Oberwabn

EDIT: Ich hab AdAware auf dem neuesten Stand und es findet nix.

EDITEDIT: Spybot hat die msvc32 file der registry gefunden und gelöscht. Trotzdem keine Besserung, Prozeß läuft immer noch und ich kann ihn nicht beenden. Außerdem fragt mich ständigZonelabs, ob ipconfig.exe aus Internet zugreifen darf! Alle 30 Sekunden ca, egal ob ich zulasse oder verweigere.......

Hallo@Oberwabn

Koenntest du diese zwei Logs posten ?

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)


HijackThis<Config
List also minor sections (full) --««Haekchen setzen
List empty sections (complete) --««Haekchen setzen
HijackThis<Config<MiscTools<Generate StartupListlog
(es oeffnet sich das Notepad, nun das Log abkopieren und posten)

_________________________________________________

[vsmon.exe]
File Path: D:\WINDOWS\system32\ZoneLabs\vsmon.exe
Firewall

GUBLW.exe ???????????? scheint ein Backdoor zu sein (?)
_________________________________________________

#Suche unter:
My Computer" und loesche: C:\Program Files\ClientMan\

Gehe in die Registry
Start<Ausfuehren<regedit
Gehe zum Schluessel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
und loesche: msvc32.exe

#Dann gib oben in die Suchfunktion der Registry ein:
<clientman
<msmc
<msvc32
und loesche alles, was du findest.

#Loesche rechts in der Registry (falls du es findest)
HKEY_CLASSES_ROOT\appid\{026e4b83-1bf7-41cb-8233-4af35341bc69}
HKEY_CLASSES_ROOT\dnsrep.dnsrepobj
HKEY_CLASSES_ROOT\dnsrep.dnsrepobj.1
HKEY_CLASSES_ROOT\interface\{a7370377-e217-4467-8448-9845270cd4a3}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer
\browser helper objects\{00a0a40c-f432-4c59-ba11-b25d142c7ab7}
HKEY_CLASSES_ROOT\typelib\{a1a986e7-7674-4d8b-8081-e422fdb8480b}
HKEY_CLASSES_ROOT\urlcli.urlcliobj
HKEY_CLASSES_ROOT\urlcli.urlcliobj.1
HKEY_CURRENT_USER\software\climan
HKEY_CURRENT_USER\software\ipend
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
\clientman
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
\clientman1
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\msmc
HKEY_LOCAL_MACHINE\clsid\{00a0a40c-f432-4c59-ba11-b25d142c7ab7}
HKEY_LOCAL_MACHINE\software\classes\clsid\{fcaddc14-bd46-408a-9842-cdbe1c6d37eb}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer
\browser helper objects\{00a0a40c-f432-4c59-ba11-b25d142c7ab7}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer
\browser helper objects\{0982868c-47f0-4efb-a664-c7b0b1015808}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer
\browser helper objects\{ba77911b-a393-4a2e-b5b5-5b8ed17d7b43}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer
\browser helper objects\{cc916b4b-be44-4026-a19d-8c74bbd23361}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer
\browser helper objects\{fcaddc14-bd46-408a-9842-cdbe1c6d37eb}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
\clientman
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
\clientman1
......
HKEY_CLASSES_ROOT\clsid\{00a0a40c-f432-4c59-ba11-b25d142c7ab7}
HKEY_CLASSES_ROOT\clsid\{166348f1-2c41-4c9f-86bb-eb2b8ade030c}
HKEY_CLASSES_ROOT\clsid\{25f7fa20-3fc3-11d7-b487-00d05990014c}
HKEY_CLASSES_ROOT\clsid\{96be1d9a-9e54-4344-a27a-37c088d64fb4}
HKEY_CLASSES_ROOT\clsid\{a097840a-61f8-4b89-8693-f68f641cc838}
HKEY_CLASSES_ROOT\clsid\{cc916b4b-be44-4026-a19d-8c74bbd23361}
HKEY_CLASSES_ROOT\clsid\{f76fda04-87fa-4717-91f6-4bb5be9fd2bb}
HKEY_CLASSES_ROOT\clsid\{fcaddc14-bd46-408a-9842-cdbe1c6d37eb}
HKEY_CURRENT_USER\software\climan
HKEY_CURRENT_USER\software\ipend
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\clientman1
HKEY_LOCAL_MACHINE\bjects\{00a0a40c-f432-4c59-ba11-b25d142c7ab7}
HKEY_LOCAL_MACHINE\bjects\{166348f1-2c41-4c9f-86bb-eb2b8ade030c}
HKEY_LOCAL_MACHINE\bjects\{25f7fa20-3fc3-11d7-b487-00d05990014c}
HKEY_LOCAL_MACHINE\bjects\{96be1d9a-9e54-4344-a27a-37c088d64fb4}
HKEY_LOCAL_MACHINE\bjects\{a097840a-61f8-4b89-8693-f68f641cc838}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\clientman
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\clientman1

schliesse die Registry und starte den PC neu

Standardansicht in Windows Explorer anpassen, um ausgeblendete Ordner anzuzeigen.
1. Klicken Sie unter Start auf Arbeitsplatz.
2. Klicken Sie im Menü Extras auf Ordneroptionen.
3. Klicken Sie auf die Registerkarte Ansicht und anschließend auf Versteckte Dateien und Ordner.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K

msvc32.exe ist browser plugin ClientMan
Du musst das im Taskmanager deaktivieren und dann die
msvc32.exe loeschen.
und auch, wenn du es findest:

msckin.exe, msdm.exe, msdpdm.dll, msgdmf.exe, mskceo.dll, msmc.exe, msmm.exe, searchrep6706569a.dll, svc.exe, taggerbhoe884facd.dll, trackurl5f9d991e.dll, trackurl7f663945-decoded.dll, trackurl7f663945.dll, uinfo4-decoded.exe, uinfo5.exe, uinfo7-decoded.exe, unpacked-browserhelper.dll, unpacked-svc.exe

<c:\windows\system32\barbho.dll
< 2in1.dll
< dnsrep.dll
< urlcli.dll
< msvrfy.dll
< gstylebho.dll
< taggerbho.dll
< fixtitle.exe
< getbuys.exe

<cachelut.dat
<downloaded program files\disable.dll
<downloaded program files\disable1.dll
<mscdka.dll
<mseclk.dll
<mseffm.dll
<msncjk.dll
<msobfl.dll
<c:\windows\system32\disable.dll
<c:\windows\system32\disable1.dll
<c:\windows\system32\msccof.exe
<c:\windows\system32\mscdka.dll
<c:\windows\system32\msdlgk.dll
<c:\windows\system32\mseclk.dll
<c:\windows\system32\mseffm.dll
<c:\windows\system32\msmc.exe
<c:\windows\system32\msncjk.dll
<c:\windows\system32\msobfl.dll
<c:\windows\disable.dll
<c:\windows\disable1.dll
<c:\windows\mscdka.dll
<c:\windows\mseffm.dll
<c:\windows\msobfl.dll
<words.lstapp.dat
<ause3-decoded.exe
<browserhelper-decoded.dll
<browserhelper.dll
<browserhelpere90a5c6.dll
<clickthru.log
<client.cfg
<firstrun.log
<getall.php
<ipend.log
<msckin.dat
<mscman.dat
<msdm.exe
<msdpdm.dll
<msgdmf.exe
<mskceo.dll
<msmm.exe
<msvc32.exe
<mungedpage.html
<popup.log
<searchhijack.html
<searchrep6706569a.dll
<svc.exe
<taggerbhoe884facd.dll
<trackurl5f9d991e.dll
<trackurl7f663945-decoded.dll
<trackurl7f663945.dll
<uinfo4-decoded.exe
<uinfo5.exe
<uinfo7-decoded.exe
<uninstall.uni
<unpacked-browserhelper.dll
<unpacked-svc.exe
<whois-om.html


Die exe-Dateien loescht du direkt und :
Je nachdem , welche dll du findest, mache das:

#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u [systemroot]\msncjk.dll
<enter<
PC neustarten

#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u c:\system32\msncjk.dll

#msncjk.dll suchen und loeschen
______________________________________________

mfg
Nikita

http://www.pestpatrol.com/pestinfo/c/clientman.asp
http://www.inet-mates.com/articles/3_rm_clientman.html

Danke Nikita für die Hilfe! Fange mal mit dem 1. Log an.....

Logfile of HijackThis v1.98.2
Scan saved at 11:48:30, on 24.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\12Ghosts\12popup.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: 12Ghosts Popup-Killer - {00000000-0007-5041-4354-0020e48020af} - C:\Programme\12Ghosts\12popup.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [immappi] C:\WINNT\System32\immappi.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GUBLW] C:\WINNT\GUBLW.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\PERFECT SERIES\SCROLL MOUSE\4.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINNT\system32\deinst_qfe001.exe
O4 - Startup: 12Ghosts Popup-Killer.lnk = C:\Programme\12Ghosts\12popup.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/ ... 1/chat.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/127a7e71ca1d2da6f6 ... 601_de.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {768D513A-C75B-4FAA-8452-E906CDAB6545} (FVLiteLoad Class) - http://flipviewer.com/exe//fvlite/fvliteY.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {AA14C86B-DA22-4811-8186-BB496A299C5F} (Be Here TotalView Player ActiveX Control, Version 3.0) - http://www.spincam.com/360video/plugins ... wer3_0.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.c ... mplete.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60E5AC0B-7922-4EC3-9BDC-FDBA50FA2E7F}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{60E5AC0B-7922-4EC3-9BDC-FDBA50FA2E7F}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{60E5AC0B-7922-4EC3-9BDC-FDBA50FA2E7F}: NameServer = 195.34.133.10,195.34.133.11



Und hier kommt das zweite (das iste etwas lang...... *soifz*)

StartupList report, 24.10.2004, 11:54:17
StartupList version: 1.52.2
Started from : C:\Program Files\HijackThis\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\12Ghosts\12popup.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Sabine\Startmenü\Programme\Autostart]
12Ghosts Popup-Killer.lnk = C:\Programme\12Ghosts\12popup.exe
Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
SoundMan = SOUNDMAN.EXE
AVG_CC = C:\Programme\Grisoft\AVG6\avgcc32.exe /startup
immappi = C:\WINNT\System32\immappi.exe
NeroCheck = C:\WINNT\System32\NeroCheck.exe
TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
GUBLW = C:\WINNT\GUBLW.exe
ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
LWBMOUSE = C:\Programme\PERFECT SERIES\SCROLL MOUSE\4.0\MOUSE32A.EXE
iTunesHelper = C:\Programme\iTunes\iTunesHelper.exe
QuickTime Task = "C:\programme\quicktime\qttask.exe" -atboottime
Zone Labs Client = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
WinampAgent = C:\Programme\Winamp\winampa.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ATI Remote Control = C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
(Default) =
ATI Launchpad =
SpywareGuard = C:\WINNT\system32\deinst_qfe001.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINNT\system32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINNT\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINNT\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINNT\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINNT
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungs-Editor'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\12Ghosts\12popup.dll - {00000000-0007-5041-4354-0020e48020af}
(no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Task Scheduler jobs:

*No jobs found*

--------------------------------------------------

Enumerating Download Program Files:

[DirectAnimation Java Classes]
CODEBASE = file://C:\WINNT\Java\classes\dajava.cab
OSD = C:\WINNT\Downloaded Program Files\DirectAnimation Java Classes.osd

[Microsoft XML Parser for Java]
CODEBASE = file://C:\WINNT\Java\classes\xmldso.cab
OSD = C:\WINNT\Downloaded Program Files\Microsoft XML Parser for Java.osd

[ppctlcab]
CODEBASE = http://www.pestscan.com/scanner/ppctlcab.cab
OSD = C:\WINNT\Downloaded Program Files\OSD406.OSD

[Yahoo! Chat]
CODEBASE = http://us.chat1.yimg.com/us.yimg.com/i/ ... 1/chat.cab
OSD = C:\WINNT\Downloaded Program Files\Yahoo! Chat.osd

[{00000075-9980-0010-8000-00AA00389B71}]
CODEBASE = http://codecs.microsoft.com/codecs/i386/voxacm.CAB

[QuickTime Object]
InProcServer32 = c:\programme\quicktime\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[{1C78AB3F-A857-482E-80C0-3A1E5238A565}]
CODEBASE = file://C:\install.cab

[Yahoo! Audio Conferencing]
InProcServer32 = C:\PROGRA~2\MESSEN~1\yacscom.dll
CODEBASE = http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab

[Windows Media Video Decoder]
InProcServer32 = C:\WINNT\System32\wmvds32.ax
CODEBASE = http://codecs.microsoft.com/codecs/i386/wmvax.cab

[RdxIE Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\RdxIE.dll
CODEBASE = http://207.188.7.150/127a7e71ca1d2da6f6 ... 601_de.cab

[SecureLogin.SecureControl]
InProcServer32 = C:\WINNT\Downloaded Program Files\ActiveSecurity.ocx
CODEBASE = http://secure2.comned.com/signuptemplat ... curity.cab

[FVLiteLoad Class]
InProcServer32 = C:\WINNT\DOWNLO~1\FVLiteX.dll
CODEBASE = http://flipviewer.com/exe//fvlite/fvliteY.cab

[Yahoo! Audio UI1]
InProcServer32 = C:\Program Files\Messenger\yacsui.dll
CODEBASE = http://chat.yahoo.com/cab/yacsui.cab

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/C ... 6288194444

[Be Here TotalView Player ActiveX Control, Version 3.0]
InProcServer32 = C:\WINNT\System32\IVIDEO~1.OCX
CODEBASE = http://www.spincam.com/360video/plugins ... wer3_0.cab

[{B9191F79-5613-4C76-AA2A-398534BB8999}]
CODEBASE = http://us.dl1.yimg.com/download.yahoo.c ... mplete.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx
CODEBASE = http://fpdownload.macromedia.com/get/sh ... wflash.cab

[iTunesDetector Class]
InProcServer32 = C:\Programme\iTunes\ITDetector.ocx
CODEBASE = http://ax.phobos.apple.com.edgesuite.ne ... tector.cab

[IWinAmpActiveX Class]
InProcServer32 = C:\Programme\Common Files\Nullsoft\ActiveX\2.0\AmpX.dll
CODEBASE = http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINNT\System32\rnr20.dll
NameSpace #2: C:\WINNT\System32\winrnr.dll
Protocol #1: C:\WINNT\system32\msafd.dll
Protocol #2: C:\WINNT\system32\msafd.dll
Protocol #3: C:\WINNT\system32\msafd.dll
Protocol #4: C:\WINNT\system32\rsvpsp.dll
Protocol #5: C:\WINNT\system32\rsvpsp.dll
Protocol #6: C:\WINNT\system32\msafd.dll
Protocol #7: C:\WINNT\system32\msafd.dll
Protocol #8: C:\WINNT\system32\msafd.dll
Protocol #9: C:\WINNT\system32\msafd.dll
Protocol #10: C:\WINNT\system32\msafd.dll
Protocol #11: C:\WINNT\system32\msafd.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
Service for Avance AC97 Audio (WDM): system32\drivers\ALCXWDM.SYS (manual start)
Warndienst: %SystemRoot%\System32\services.exe (manual start)
Anwendungsverwaltung: %SystemRoot%\system32\services.exe (manual start)
Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
Ati HotKey Poller: %SystemRoot%\System32\Ati2evxx.exe (autostart)
ATI Smart: C:\WINNT\system32\ati2sgag.exe (autostart)
ati2mtag: System32\DRIVERS\ati2mtag.sys (manual start)
Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
AVG6 Kernel: \??\C:\PROGRA~1\Grisoft\AVG6\avgcore.sys (autostart)
AVG6 Rezident Driver: \??\C:\PROGRA~1\Grisoft\AVG6\avgfsh.sys (autostart)
AVG6 Service: C:\PROGRA~1\Grisoft\AVG6\avgserv.exe (autostart)
Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k BITSgroup (autostart)
Computerbrowser: %SystemRoot%\System32\services.exe (autostart)
Closed Caption Decoder: System32\DRIVERS\CCDECODE.sys (manual start)
CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
Indexdienst: C:\WINNT\System32\cisvc.exe (manual start)
Ablagemappe: %SystemRoot%\system32\clipsrv.exe (manual start)
DHCP-Client: %SystemRoot%\System32\services.exe (autostart)
Datenträgertreiber: System32\DRIVERS\disk.sys (system)
Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Treiber für die Verwaltung logischer Datenträger: System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Verwaltung logischer Datenträger: %SystemRoot%\System32\services.exe (autostart)
Microsoft DirectMusic SW-Synthesizer (WDM): system32\drivers\DMusic.sys (manual start)
DNS-Client: %SystemRoot%\System32\services.exe (autostart)
3Com EtherLink-XL-B/C-Adaptertreiber: System32\DRIVERS\el90xbc5.sys (manual start)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
COM+-Ereignissystem: C:\WINNT\System32\svchost.exe -k netsvcs (manual start)
Faxdienst: %systemroot%\system32\faxsvc.exe (manual start)
Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
Diskettentreiber: System32\DRIVERS\flpydisk.sys (manual start)
Treiber für Datenträger-Manager: System32\DRIVERS\ftdisk.sys (system)
GEAR CDRom Filter: SYSTEM32\DRIVERS\GEARAspiWDM.sys (manual start)
Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
IP-Netzwerkadressenübersetzer: System32\DRIVERS\ipnat.sys (manual start)
iPod Service: C:\Programme\iPod\bin\iPodService.exe (disabled)
IPSEC-Treiber: System32\DRIVERS\ipsec.sys (manual start)
IR Enumerator Service: System32\DRIVERS\irenum.sys (manual start)
PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\System32\services.exe (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\services.exe (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\services.exe (autostart)
Nachrichtendienst: %SystemRoot%\System32\services.exe (disabled)
NetMeeting-Remotedesktop-Freigabe: C:\WINNT\System32\mnmsrvc.exe (manual start)
Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
BDA MPE Filter: System32\DRIVERS\MPE.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: C:\WINNT\System32\msdtc.exe (manual start)
Windows Installer: C:\WINNT\System32\MsiExec.exe /V (manual start)
Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
Microsoft Streaming Tee/Sink-to-Sink Converter: system32\drivers\MSTEE.sys (manual start)
msvc32: "C:\WINNT\system32\msvc32.exe" -service (autostart)
NABTS/FEC VBI Codec: System32\DRIVERS\NABTSFEC.sys (manual start)
RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (manual start)
Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (manual start)
NetDetect: \SystemRoot\system32\drivers\netdtect.sys (manual start)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start)
Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
Wechselmedien: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
Parallelklassentreiber: System32\DRIVERS\parallel.sys (manual start)
Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (system)
PCI Bus Driver: System32\DRIVERS\pci.sys (system)
PCIIde: System32\DRIVERS\pciide.sys (system)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Richtlinienagent: %SystemRoot%\System32\lsass.exe (autostart)
WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Geschützter Speicher: %SystemRoot%\system32\services.exe (autostart)
Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
PxHelp20: system32\DRIVERS\PxHelp20.sys (system)
Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
Microsoft Streaming Network-RCA (Raw Channel Access): system32\drivers\RCA.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Remote-Registrierungsdienst: %SystemRoot%\system32\regsvc.exe (autostart)
Microsoft Legacy Modem Driver: System32\Drivers\RootMdm.sys (manual start)
RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS RSVP: %SystemRoot%\System32\rsvp.exe -s (manual start)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Smartcard-Hilfsprogramm: %SystemRoot%\System32\SCardSvr.exe (manual start)
Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
Taskplaner: %SystemRoot%\system32\MSTask.exe (autostart)
SecDrv: \??\C:\WINNT\System32\drivers\SECDRV.SYS (autostart)
Dienst "Ausführen als": %SystemRoot%\system32\services.exe (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start)
Treiber für seriellen Anschluss: System32\DRIVERS\serial.sys (system)
Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
BDA Slip De-Framer: System32\DRIVERS\SLIP.sys (manual start)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
Still Image Service: %systemroot%\system32\stisvc.exe (autostart)
BDA IPSink: System32\DRIVERS\StreamIP.sys (manual start)
Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start)
Microsoft System-Audiogerät: system32\drivers\sysaudio.sys (manual start)
Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
Telnet: %SystemRoot%\system32\tlntsvr.exe (manual start)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\services.exe (autostart)
Universeller Microsoft USB-Hostcontrollertreiber: System32\DRIVERS\uhcd.sys (manual start)
Microcode Aktualisierungstreiber: System32\DRIVERS\update.sys (manual start)
Unterbrechungsfreie Spannungsversorgung: %SystemRoot%\System32\ups.exe (manual start)
Microsoft USB-Standardhubtreiber: System32\DRIVERS\usbhub.sys (manual start)
USB-Scannertreiber: System32\DRIVERS\usbscan.sys (manual start)
USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start)
Hilfsprogramm-Manager: %SystemRoot%\System32\UtilMan.exe (manual start)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
VIA AGP Filter: System32\DRIVERS\viaagp1.sys (system)
VIA USB Filter: \SystemRoot\System32\Drivers\viausb.sys (manual start)
viaide: System32\DRIVERS\viaide.sys (system)
VIAPFD: \SystemRoot\System32\Drivers\VIAPFD.SYS (system)
vsdatant: System32\vsdatant.sys (system)
TrueVector Internet Monitor: C:\WINNT\system32\ZoneLabs\vsmon.exe -service (autostart)
Windows-Zeitgeber: %SystemRoot%\System32\services.exe (manual start)
RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
Treiber für Microsoft WINMM-WDM-Audiokompatibilität: system32\drivers\wdmaud.sys (manual start)
Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)
Portable Media Serial Number Service: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Windows-Verwaltungsinstrumentations-Treibererweiterungen: %SystemRoot%\system32\Services.exe (manual start)
World Standard Teletext Codec: System32\DRIVERS\WSTCODEC.SYS (manual start)
Automatische Updates: %systemroot%\system32\svchost.exe -k wugroup (autostart)
Drahtloskonfiguration: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
X10 Device Network Service: C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (manual start)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\system32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 30.606 bytes
Report generated in 0,125 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Hoffe, Du bist bis hierher durchgekommen *gg*

Hallo @Oberwabn

oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O4 - HKLM\..\Run: [immappi] C:\WINNT\System32\immappi.exe
O4 - HKLM\..\Run: [GUBLW] C:\WINNT\GUBLW.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINNT\system32\deinst_qfe001.exe
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab

neustarten

#ueber pruefe bitte (und poste es mir) was fuer diese zwei exe angezeigt wird.

C:\WINNT\System32\immappi.exe
C:\WINNT\GUBLW.exe

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
______________________________________________________

Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Recycle Bin
#Temporary Files


Loesche:
C:\install.cab
C:\WINNT\System32\immappi.exe
C:\WINNT\GUBLW.exe

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/inde ... topic=3867
update den eScan online und führe ihn offline im abgesicherten Modus aus (mwav.exe)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile mir das Ergebnis des eScan mit
und poste das neue Log vom HijackThis:

Tipp:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

mfg
Nikita

Sooooo, also mittlerweile funktioniert der PC schon wieder viel besser! Und msvc32.exe läuft nicht mehr im Hintergrund, juhuuu! Dank Deiner Hilfe, Nikita......

Folgend das Log von der immappi.exe file:

File: immapi.exe Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected:
UPX AntiVir
No viruses found (1.81 seconds taken) Avast
No viruses found (5.11 seconds taken) BitDefender
No viruses found (6.72 seconds taken) ClamAV
No viruses found (4.48 seconds taken) Dr.Web
IRC.Kelebek (4.81 seconds taken) F-Prot Antivirus
No viruses found (0.45 seconds taken) Kaspersky Anti-Virus
not-a-virus:RiskWare.mIRC.6.03 (6.29 seconds taken) mks_vir
Trojan.Mirc-based (7.79 seconds taken) NOD32
No viruses found (18.18 seconds taken) Norman Virus Control
No viruses found (63.87 seconds taken)

GUBLW.exe konnte ich nicht finden seltsamerweise! Aaaaaber ich hab gerade in der Registry danach gesucht und unter folgendem Verzeichnis folgendes gefunden:

HKEY_USERS\S-1-5-21-507921405-1303643608-839522115-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}FilesnamedMRU:

000 HotVideo_at-uninstall.exe (wurde als RiskFile von EScan entdeckt, hab ich gelöscht)
001 libparse.exe (das gleiche hier)
002 weisseradlerscript.exe (the same)
003 sysapp.exe --> File C:\WINNT\system\sysapp.exe infected by "TrojanDownloader.Win32.Donn.m" Virus. Action Taken: File Deleted. (laut EScan)
004 Active Security.ocx ----> File C:\WINNT\Downloaded Program Files\ActiveSecurity.ocx infected by "VirTool.Win32.Collector" Virus. Action Taken: File Deleted. (laut EScan)
005 gublw.exe (nicht gefunden)
006 immappi.exe (gelöscht)
007 install.cab (hab ich gelöscht)
008 clientman
009 hosts
010 mususer32.exe
011 msmm.exe
012 msdpdm.exe
013 msdm.exe
014 msccof.exe
015 msckin.exe
016 ipodservice
017 winamp
018 macromedia flash player
019 senka
020 25064
021 temporary internet files
022 extreme
023 part
024 rec

Ist wahrscheinlich nicht wichtig, ich dachte aber, ich post es trotzdem, wer weiß.
Ansonsten ist gublw.exe sowie msvc32.exe nicht mehr zu finden, auch nicht in der Registry.....

Heißt das wir haben ihn gekillt? Oder soll ich noch irgendwas machen?

Vielen lieben Dank für die Hilfe!!!!

PS: Das Log von EScan ist riiiiieeesig, ich hab's dehalb nicht gepostet. Aber er hat 2 Viren (eh oben) gefunden und 5mal Riskware, die ich auch gelöscht habe. Soll ich's trotzdem posten?

Hallo @Oberwabn

HKey_Users
S-1-5-21-2073569862-1769952746-1318725885-1080
Software
Microsoft
Internet Explorer
{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
FilesNamedMRU
Name=000 Type=Reg_SZ Data= GUBLW.*...

Loesche diesen Wert ("!)

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren ->

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

#loesche auch:
C:\WINNT\System32\immappi.exe [Backdoor.IRC.Kelebek]
C:\WINNT\GUBLW.exe

Dann scanne noch mal mit escan ...und poste, wie du es schon gemacht hast, nur den infizierten Teil

mfg
Nikita

Danke Nikita für die supa Hilfe! Ich hab weder gublw noch immappi gefunden, sollte hoffentlich klappen!!!!!!

Dankeeeee!!!!!

Hallo@Oberwabn

Ich tappe ein bisschen im Dunkel

scanne mit eScan und :
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten. (rauskopieren)

Dann sehen wir weiter.

mfg
Nikita

Hi Nikita!

Oki, hier nochmal Ergebnis von escan!

=> File C:\WINNT\Downloaded Program Files\ActiveSecurity.ocx infected by "VirTool.Win32.Collector" Virus. Action Taken: File Deleted.

=> File C:\WINNT\system\sysapp.exe infected by "TrojanDownloader.Win32.Donn.m" Virus. Action Taken: File Deleted.

=> ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5)

=> ERROR!!! ScanFile fails for C:\pagefile.sys

=> ERROR!!! ScanFile fails for C:\DOKUME~1\Sabine\NTUSER~1.LOG

=> ERROR!!! ScanFile fails for C:\DOKUME~1\Sabine\NTUSER.DAT

=> ERROR!!! ScanFile fails for C:\DOKUME~1\Sabine\LOKALE~1\Verlauf\History.IE5\index.dat

=> ERROR!!! ScanFile fails for C:\DOKUME~1\Sabine\LOKALE~1\TEMPOR~1\Content.IE5\index.dat

=> ERROR!!! ScanFile fails for C:\DOKUME~1\Sabine\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG

=> ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROS~1\Network\DOWNLO~1\qmgr1.dat

=> ERROR!!! ScanFile fails for C:\WINNT\Temp\ZLT02116.TMP

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SYSTEM.ALT

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\system

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SysEvent.Evt

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\software.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\software

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SECURITY.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SECURITY

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SecEvent.Evt

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SAM.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SAM

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\default.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\default

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\AppEvent.Evt

=> ERROR!!! ScanFile fails for C:\WINNT\SchedLgU.Txt

=> ERROR!!! ScanFile fails for C:\WINNT\INTERN~1\tvDebug.log

=> ERROR!!! ScanFile fails for C:\WINNT\INTERN~1\RUMPEL~1.LDB

=> ERROR!!! ScanFile fails for C:\WINNT\INTERN~1\IAMDB.RDB

=> ERROR!!! ScanFile fails for C:\WINNT\INTERN~1\fwpktlog.txt

=> ERROR!!! ScanFile fails for C:\WINNT\INTERN~1\fwdbglog.txt

=> ERROR!!! ScanFile fails for C:\WINNT\CSC\00000001

=> ERROR!!! Invalid Entry C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe in SYSTEM\CurrentControlSet\Services\x10nets...

=> ERROR!!! Invalid Entry "C:\WINNT\system32\msvc32.exe" -service in SYSTEM\CurrentControlSet\Services\msvc32...

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SYSTEM.ALT

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\system

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SysEvent.Evt

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\software.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\software

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SECURITY.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SECURITY

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SecEvent.Evt

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SAM.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\SAM

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\default.LOG

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\default

=> ERROR!!! ScanFile fails for C:\WINNT\system32\config\AppEvent.Evt

=> ERROR!!! ScanFile fails for C:\WINNT\security\logs\scepol.log

=> ERROR!!! Invalid Entry C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe in SYSTEM\CurrentControlSet\Services\x10nets...

=> ERROR!!! Invalid Entry "C:\WINNT\system32\msvc32.exe" -service in SYSTEM\CurrentControlSet\Services\msvc32...

=> Scanning File C:\WINNT\system32\immappi.DAT


So, ich hoffe, das sagt Dir mehr als mir......

Ganz liebe Grüße und Dankeschön!
Oberwabn

Hallo Oberwabn

Sieh nach ob du unter Software was installiert hast, wie:
Add/Remove Programs list 'mscman"
Das deinstalliere

Loesche:
<C:\WINNT\system32\immappi.DAT

Spybot Search & Destroy update 2003-03-26 and Ad-Aware reflist 07.04.2003 can remove at least ClientMan/Helper.
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
#Search&Destroy
http://www.safer-networking.org/de/download/index.html

Poste bitte das aktuelle Log vom HijackThis

Gruss
Nikita

http://doxdesk.com/parasite/ClientMan.html

Hmm... was total komisch ist, ist, dass die Adaware reference file (ich hab ja sowieso Adaware) sich nicht uplädt. Bei 5% heißt es auf einmal "Webupdate complete" und es geht nicht weiter. Somit heißt es auch Error bei der Reference File. Hat das was mit dem Virus zu tun?

MfG,
Oberwabn

deinstalliere AdAware und lade neu.

#AdAware (free)
http://www.lavasoft.de/support/download/

lade:falls du das Tool nicht schon hast)
#Search&Destroy
http://www.safer-networking.org/de/download/index.html


Dann berichte.

mfg
Nikita