DatFind-Files! könnte die bitte wer checken? sehr wichtig!

[Ryusei]

Gestern wurde ich Opfer einer Phishing-Attacke. Hab so eine sch.... Grußkarten-Mail bekommen. Ich dachte, dass das eine Grußkarte von einem Bekannten sei. Als ich auf die Seite verlinkt wurde, stand da dass ich meinen flashplayer aktualisieren sollte um die Grußkarte anzusehen. Sah alles normal aus, keine schlechte Seite. Update kam mir nicht verdächtig vor, da ich öfters schon updaten mußte um den Inhalt auf bekannten und seriösen Seiten zu sehen.

Als die Aktualisierung startete, kam eine Meldung von McAfee-Site Advisor: "Phishing Attacke, Jemand versucht Daten von ihnen zu stehlen". Ich hab das sofort abgebrochen und einen kompletten Scan der Festplatte gemacht. McAfee hat vieles gelöscht und unter Quarantäne gestellt. Als der Scan fertig war wollte ich Arbeitsplatz und auch Internet Explorer testen. Da war schon ein Fenster da "Buffer overrun, the Program cannot be executed and must be terminated" so ähnlich. Wenn man da auf "ok" ging, wurde alles geschlossen, und auch der active Desktop war für 3 Sekunden weg.
Keine Chance dass ich die störende Datei finde, dachte ich mir. Daher machte ich eine Systemwiederherstellung, zum Glück war da ein Systemwiederherstellungspunkt vom vorigen Tag, als noch alles in Ordnung war. Gestartet, keine Probleme aufgetaucht. Nach dem Neustart gab es keinen "Buffer overrun" mehr. Wieder neuen Scan der Festplatte gemacht. Es wurden nur cookies gefunden, welche entfernt wurden. Es läuft alles wieder normal, wie es aussieht.

Ich bin mir aber doch nicht 100% sicher, dass da wirklich alles weg ist.
Hab mich heute noch nicht getraut, auf meine Netbanking-Seite zu gehen. Ist mir zu riskant.

Entschuldigt den langen post. Ich wollte nur das Problem ein bißchen genauer schildern Die gefährliche Seite war übrigens "AmericanGreetings", vielleicht kennt die wer.

Nun möchte ich fragen, ob sich wer meine files ansehen könnte, ob da was verdächtiges dabei ist. Das wäre super! Ich liste mal alle der letzten 3 Monate auf.


Verzeichnis von C:\WINDOWS\system32

15.02.2007 10:54 11.402 Config.MPF
15.02.2007 10:53 81.191 nvapps.xml
14.02.2007 13:09 4 perfg039.dat
14.02.2007 11:18 77 ObjHelpr32.txt
14.02.2007 08:52 16 idname.sig
13.02.2007 11:00 2.284 wpa.dbl
10.02.2007 12:25 383.390 perfh009.dat
10.02.2007 12:25 64.796 perfc007.dat
10.02.2007 12:25 53.744 perfc009.dat
10.02.2007 12:25 394.830 perfh007.dat
10.02.2007 12:25 881.636 PerfStringBackup.INI
03.01.2007 00:19 10.980.776 MRT.exe
01.01.2007 18:09 9.074 jupdate-1.5.0_10-b03.log
22.12.2006 00:14 119.744 FNTCACHE.DAT
07.12.2006 06:29 2.374.472 wmvcore.dll
01.12.2006 11:27 8.833 jupdate-1.5.0_09-b03.log




Verzeichnis von C:\WINDOWS

15.02.2007 11:01 1.736.256 WindowsUpdate.log
15.02.2007 10:54 0 0.log
15.02.2007 10:52 2.048 bootstat.dat
14.02.2007 15:20 32.594 SchedLgU.Txt
14.02.2007 12:11 50 wiaservc.log
14.02.2007 12:10 311 wiadebug.log
10.02.2007 12:27 1.454 COM+.log
10.02.2007 12:27 141.383 DirectX.log
08.02.2007 15:06 116 NeroDigital.ini
04.02.2007 14:53 101.334 wmsetup.log
28.01.2007 14:38 631.706 setupapi.log
28.01.2007 14:21 316.640 WMSysPr9.prx
10.01.2007 17:01 1.409.599 iis6.log
10.01.2007 17:01 447.018 tsoc.log
10.01.2007 17:01 1.374 imsins.log
10.01.2007 17:01 198.307 ntdtcsetup.log
10.01.2007 17:01 302.173 comsetup.log
10.01.2007 17:01 34.027 tabletoc.log
10.01.2007 17:01 50.329 ocmsn.log
10.01.2007 17:01 3.611 KB929969.log
10.01.2007 17:01 61.057 medctroc.Log
10.01.2007 17:01 135.699 netfxocm.log
10.01.2007 17:01 47.654 msgsocm.log
10.01.2007 17:01 586.641 ocgen.log
10.01.2007 17:01 852.191 FaxSetup.log
10.01.2007 17:01 353.012 msmqinst.log
02.01.2007 15:47 11.154 ModemLog_Motorola USB Modem.txt
22.12.2006 18:24 139 msicpl.ini
21.12.2006 12:52 400 ODBC.INI
16.12.2006 04:59 1.393 imsins.BAK
16.12.2006 04:59 10.195 KB925398.log
16.12.2006 04:58 11.577 KB923689.log
16.12.2006 04:58 11.688 KB926255.log
16.12.2006 04:58 51.540 updspapi.log
16.12.2006 04:58 12.395 KB923694.log
14.12.2006 12:19 6.543 Active Setup Log.txt
14.12.2006 12:19 1.611 Active Setup Log.BAK
14.12.2006 12:18 796.672 GPInstall.exe




Verzeichnis von C:\

15.02.2007 16:47 0 sys.txt
15.02.2007 16:47 11.703 system.txt
15.02.2007 16:47 135 systemtemp.txt
15.02.2007 16:47 111.891 system32.txt
15.02.2007 10:52 1.610.141.696 hiberfil.sys
15.02.2007 10:52 2.413.821.952 pagefile.sys
26.04.2006 23:14 211 boot.ini
26.04.2006 23:07 47.564 NTDETECT.COM
26.04.2006 23:07 251.184 ntldr
26.04.2006 18:07 0 IO.SYS
26.04.2006 18:07 0 MSDOS.SYS
26.04.2006 18:07 0 AUTOEXEC.BAT
26.04.2006 18:07 0 CONFIG.SYS
18.08.2001 13:00 4.952 bootfont.bin

[d2k]

poste bitte ein hijackthislogfile

Anleitung + Download HijackTHis:
http://virus-protect.org/hjtkurz.html


http://virustotal.com

Lasse dort diese Datei auf viren überprüfen:

C:\WINDOWS\GPInstall.exe

[Ryusei]

Hab die Datei "GPInstall.exe" mit Virustotal überprüfen lassen. 30 Programme haben keinen Virus entdeckt. Die Datei ist seit 14.Dezember auf meinem PC, habe aber keine Ahnung für was die gut ist.


Und hier das HijackThis-Resultat:
mir kommt eigentlich nur O11 - Options group: [INTERNATIONAL] International* verdächtig vor.


Logfile of HijackThis v1.99.1
Scan saved at 20:58:39, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\SiteAdvisor\6028\SiteAdv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\MSC\mctskshd.exe
C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SiteAdvisor\6028\SAService.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Programme & Treiber\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.deu.chello.at/ssi/welcome/w ... url=search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oe3.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.deu.chello.at/ssi/welcome/w ... p?url=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.deu.chello.at/ssi/welcome/w ... rl=landing
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v.
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6028\SiteAdv.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programme\mcafee\virusscan\scriptcl.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6028\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6028\SiteAdv.exe
O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/share ... insctl.cab
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6028\SiteAdv.dll
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe
O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programme\SiteAdvisor\6028\SAService.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
[/b]

[gipsy111]

GPinstall.exe is an adware program Adware.PopAdStop. .

Führe dies durch!!

combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten

und lösche die Datei "GPinstall.exe" nicht!!

[Ryusei]

Das Programm läßt sich nicht starten. Es kommt diese Meldung!
Die klingt nicht so toll!

The tool, ComboFix has been temporarily withdrawn.

The author discovered a rootkit infection that will intefere with ComboFix's running.

This will cause Combofix to be UNSAFE FOR USE on your machine.

Even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL

Apologies for any inconvenience cause

[gipsy111]

Ok machen wir es halt so!!

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

_____________________________________________________________________

L2mfix
arbeite Option 2 ab...und poste nach Neustart+ Scan den Scanreport
_____________________________________________________________________

Avenger

kopiere rein:

Files to delete:
C:\WINDOWS\GPInstall.exe
C:\WINDOWS\popadstop.exe

_____________________________________________________________________

Mache bitte einen PandaOnlineScan und poste den Report.

Danach sehen wir weiter!

[Ryusei]

Also bei hijackthis hab ich bei beiden dateien ein häkchen gemacht und "fix checked". die sind also weg.

Avenger kann gpinstall.exe nicht löschen, weil das kein gültiges script ist. und "popadstop.exe" ist auf der Festplatte nicht vorhanden.

Panda läßt sich weder installieren (die freeware, weil es mit mcafee nicht kompatibel ist, da müßte ich den löschen, das mach ich aber nicht ) noch geht die online-version. wenn ich das activex-steuerelement zulasse, kommt nur ein popup wo ich die version kaufen soll. War sehr verwirrend das ganze. Die meisten seiten haben kein gültiges Zertifikat oder so, die werden gleich geblockt. Mein Mcafee und Windows XP vertrauen anscheinend gar keiner Seite, und sei es nur die Homepage von "Kinder lernen malen". "Ärzte ohne Grenzen" werden wahrscheinlich auch abgewiesen.

Aber etwas positives zum Schluß:

Hier sind die Reports von L2mfix. Das hat funktioniert

Log.txt

[i]L2mfix 051206
Creating Account.
Der Befehl wurde erfolgreich ausgef

[gipsy111]

KILLBOX

- Delete File on Reboot -- anhaken
- reinkopieren:

C:\WINDOWS\GPInstall.exe

________________________________________________________________

scanne mit Counterspy , stelle nach dem scan alles auf "remove" und poste den scanreport

[Ryusei]

tschuldige, dass ich erst jetzt wieder hier bin. Am Donnerstag Abend war ich zu müde und das Counterspy-Programm hat nicht richtig funtkioniert. Funkt jetzt auch noch nicht richtig, bricht immer bei 77.000 Dateien ab, dann reagiert das Programm nicht mehr (Keine Rückmeldung). Es gibt nur die Möglichkeit das Programm zu kaufen, also die Freeware geht nicht.


Das mit Killbox hat auf jeden Fall funktioniert. GPInstall ist im Killbox-Ordner.

[gipsy111]

Mache bitte einen PandaOnlineScan und poste den Report.

Also pass auf.
Start --> Systemsteuerung --> Internetoptionen --> Sicherheit --> Stufe anpassen
Alles mit ActiveX auf Aktivieren drücken und danach auf ok
Dann gehst du mit dem Internet Explorer auf den PandaOnlineScan und führst den durch.
Danach poste bitte den Report!!

[Ryusei]

PandaOnline-Scan konnte ich jetzt aktivieren. Er hat 31 Spyware-Dateien gefunden. Das Problem ist, dass er ungefär bei 70.000 Dateien abbricht. Das Programm (Fenster) verschwindet komplett, also gibt es wahrscheinlich auch keinen Report auf der Festplatte. Bei Counterspy hatte ich wie erwähnt auch einen Abbruch bei 77k Dateien. Also da kenn ich mich jetzt langsam nicht mehr aus.

Ich werde glaube ich nocheinmal mit Mcafee Virusscan drüberfahren. Vielleicht findet der auch dieselben Dateien.

[gipsy111]

Selstam!! Immer bei 77 000 Dateien.
Weißt du vielleicht den Namen der Datei, wenn er bei 77 000 stecken bleibt!!

[Ryusei]

Panda-Scan tut sich mit dem Ordner NVIDIA/Win2kxp/91.47/ schwer. Zuerst ist er immer bei setup.skin stehengeblieben und hat dann abgebrochen, jetzt ist es setup.iss. Ich hab setup.skin verschoben auf andere Partition, um zu testen obs diese Datei war. Is aber nicht diese alleine.
Der Ordner enthält glaube ich den neuesten Treiber für meine Geforce-Grafikkare. Einen älteren Odner gibts auch, /Win2kxp/81.98 da gabs anscheinend keine Probleme, oder der wurde noch nicht gescant.

Wenn Panda abbricht, erstellt er einen temp-Ordner auf der Festplatte, der 260mb groß ist. Den lösch ich halt immer.

Es wäre gut, wenn man den Nvidia-Ordner beim scan überspringen könnte. Aber ich glaube das geht bei Panda-Online nicht.

[gipsy111]

Dann machen wir es halt anders!!

Mache bitte einen Kaspersky - Onlinescanner und poste den Report.

[Ryusei]

Aha, Moment. Jetzt hats geklappt mit einzelne Ordner auswählen. In C:/Programme und C:/Dokumente und Einstellungen sind die infizierten Dateien. Die hat auch Mcafee erkannt, die cookies kamen aber immer wieder. Die anderen Ordner sind sauber. Bei C:/Nvidia wird wahrscheinlich auch nichts infiziert sein.

Soll ich die infizierten Dateien auch mit Killbox eliminieren?

Hier sind die Reports:
(Leider ein bißchen durcheinander, aber man sieht alles glaube ich)

C:/Dokumente und Einstellungen


Spyware:Cookie/PointRoll Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.pointroll[2].txt
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@adverserve[1].txt
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@apmebf[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@atdmt[2].txt
Spyware:Cookie/Ccbill Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@ccbill[1].txt
Spyware:Cookie/Com.com Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@com[1].txt
Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@cs.sexcounter[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@doubleclick[2].txt
Spyware:Cookie/Itrack Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@ilead.itrack[1].txt
Spyware:Cookie/MediaTickets Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@kinghost[2].txt
Spyware:Cookie/onestat.com Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@stat.onestat[2].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@statse.webtrendslive[1].txt
Spyware:Cookie/Toplist Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@toplist[1].txt
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@xiti[1].txt
Spyware:Cookie/Zedo Not disinfected C:\Dokumente und Einstellungen\Michael\Cookies\michael@zedo[2].txt
Spyware:Cookie/Adverserve Not disinfected C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\Cookies\michael@adverserve[1].txt
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\Cookies\michael@statse.webtrendslive[1].txt




C:/Programme:

Adware:Adware/IST.ISTBar Not disinfected C:\Programme\Shareaza\Downloads\le reveil 1 41.wma