ungewollte Icons auf dem Desktop |
||
---|---|---|
#0
| ||
10.07.2005, 16:34
...neu hier
Beiträge: 4 |
||
|
||
10.07.2005, 18:29
...neu hier
Beiträge: 7 |
#2
Hi,
ich kenne mich zwar mit solchen Logfiles nicht so super aus und weiß ja auch nicht, welche Version von ICQ du hast. Zitat O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exeAber ich glaube, ich habe noch nie im ICQ Ordner eine Datei ICQNet.exe gesehen. Außerdem steht danach ja der Standard-Eintrag von ICQ: Zitat O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -traybootMir kommt die ICQNet.exe jedenfalls sehr verdächtig vor. Lass mal Spybot Search & Destroy über deinen PC laufen. Ich würde auch mal AD Aware ausprobieren. Spybot S&D: http://hestiasn.cachefly.net/spybotsd14.exe AD Aware SE Personal 1.06: http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage Language Pack für AD Aware: http://download.lavasoft.de.edgesuite.net/public/pllangs.exe Gruß Gouda Dieser Beitrag wurde am 10.07.2005 um 18:33 Uhr von Gouda editiert.
|
|
|
||
10.07.2005, 19:12
Member
Beiträge: 1132 |
#3
Hallo gOrg,
Lade Dir folgende Programme herunter: Autoruns http://www.sysinternals.com/Utilities/Autoruns.html KillBox http://www.bleepingcomputer.com/files/killbox.php Öffne Autoruns (bei Win XP Du musst dabei als Admin angemeldet sein) => View => alle Häkchen nacheinander setzen => F5 drücken. Dann mit File => "Save as..." das Log als Textfile abspeichern, die Datei mit dem Texteditor (z.B. Notepad) öffnen, alles kopieren und hierher posten. Lösche in der Registry die Einträge (sofern vorhanden) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lgbibsn HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msb HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tov HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sais HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\saie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\180ax Rechner neu starten Fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0277/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129 R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [saap] c:\program files\180search assistant\saap.exe O4 - HKLM\..\Run: [urax] C:\WINDOWS\urax.exe O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBtHUjAy44qd730v79M.chm::/on-line.exe O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe (ICQNet.exe ist ein legitimes Programm, muss aber nicht im Autostart laufen. Wenn Du willst, kannst Du auch O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe fixen) Rechner neu starten Prüfe die Datei C:\WINDOWS\urax.exe bei Jotti's Malware Scan http://virusscan.jotti.org/ Poste das Ergebnis. Suche mit dem WinExplorer folgende Dateien auf dem Laufwerk C: (Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemddateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren) 180.dll witircl.dll Die Dateien befinden sich wahrscheinlich mehrfach an verschiedenen Stellen. Alle Funde mit kompletter Pfadangabe posten. Poste ein aktuelles HJT Log Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 11.07.2005 um 14:50 Uhr von Heron editiert.
|
|
|
||
11.07.2005, 13:42
...neu hier
Themenstarter Beiträge: 4 |
#4
Hallo, erstmal danke für Eure Hilfe!
Hier die Logfile von Autoruns: HKCU\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + AVGCtrl AntiVir Guard/XP Control Program (Not verified) H+BEDV Datentechnik GmbH c:\programme\avpersonal\avgnt.exe + Mirabilis ICQ c:\programme\icq\icqnet.exe + PMXInit Card enumeration module (Not verified) Imagination Technologies Ltd. c:\windows\system32\pmxinit.exe + SmcService Sygate Agent Firewall Sygate Technologies, Inc. c:\programme\sygate\spf\smc.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart C:\Dokumente und Einstellungen\Fam. Lindlacher\Startmenü\Programme\Autostart HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce + ICQ ICQ (Not verified) ICQ Inc. c:\programme\icq\icq.exe HKLM\System\CurrentControlSet\Services + AntiVirService Permanenter Virenschutz mit der H+BEDV AntiVir Suchengine. (Not verified) H+BEDV Datentechnik GmbH c:\programme\avpersonal\avguard.exe + AVWUpSrv Hilfsdienst fuer AntiVir Personal Edition. (Not verified) H+BEDV Datentechnik GmbH, Germany c:\programme\avpersonal\avwupsrv.exe + SmcService Sygate Agent Firewall Sygate Technologies, Inc. c:\programme\sygate\spf\smc.exe HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler + Interlinking Memory Support c:\windows\system32\param32.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved + AlcoholShellEx AXShlEx.dll (Not verified) Alcohol Soft Development Team c:\programme\alcohol soft\alcohol 120\axshlex.dll + CPL-Erweiterung für Anzeigeverschiebung File not found: deskpan.dll + ICQ Shell Extension ICQ Shell Extension (Not verified) ICQ c:\programme\icq\icqshext.dll + Web Folders Microsoft Web Folders (Not verified) Microsoft Corporation c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll + WinRAR shell extension c:\programme\winrar\rarext.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + AcroIEHlprObj Class Adobe Acrobat IE Helper Version 6.0 for ActivieX Adobe Systems, Incorporated c:\programme\adobe\acrobat 6.0\reader\activex\acroiehelper.dll HKLM\Software\Microsoft\Internet Explorer\Toolbar HKLM\Software\Microsoft\Internet Explorer\Extensions + ICQ ICQ (Not verified) ICQ Inc. c:\programme\icq\icq.exe Task Scheduler HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 die von Heron geposteten registry-Einträge hab ich nicht gefunden, auch nicht mit regedit (was ja derselbe Vorgang wäre, oder?) aktuelles Hijack Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQ\ICQ.exe C:\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0277/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}: NameServer = 194.97.173.125 194.97.173.124 O17 - HKLM\System\CS2\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}: NameServer = 194.97.173.125 194.97.173.124 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Virus-Scan-Ergebnis: AntiVir Found DR/180Solutions ArcaVir Found Adware.Ncase180 Avast Found Win32:NcaseSpy AVG Antivirus Found nothing BitDefender Found Adware.180Solutions.5.11 ClamAV Found Trojan.Spy.Ncase-1 Dr.Web Found not a virus Adware.nCase F-Prot Antivirus Found security risk or a "backdoor" program Fortinet Found Adware/180Solutions Kaspersky Anti-Virus Found not-a-virus:AdWare.180Solutions NOD32 Found Win32/Adware.180Solutions application Norman Virus Control Found W32/Ncase.B UNA Found Adware.180Solutions VBA32 Found Adware.180Solutions Die Suche nach den Beiden Dateien blieb erfolglos :/ Killbox hab ich noch nicht angewendet, hab mich nur strikt an Anweisung gehalten |
|
|
||
11.07.2005, 14:43
Member
Beiträge: 1132 |
#5
Das HJT Log sieht soweit gut aus! Nur, das nächste Mal im Editor den Zeilenumbruch ausstellen (Format => Zeilenumbruch)
Start => Ausführen => regedit eingeben => Reg-Editor öffnet sich. Dann zu den oben angegebenen Einträgen manövrieren und sie löschen. Öffne die Killbox => Delete on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten c:\program files\180search assistant\saap.exe C:\WINDOWS\urax.exe Lösche die Ordner C:\Program Files\180search assistant C:\Program Files\180solutions So, und jetzt zur "Endreinigung"! Arbeite Punkt 1 - 4 von http://board.protecus.de/t9373.htm ab und poste das Ergebnis von eScan. Ach ja, fast hätte ich es vergessen. Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften) => Rechner neu starten und dann die Systemwiederherstellung wieder aktivieren. Gruß Heron edit: Was ist den damit geschehen? C:\Programme\Crazy Browser\Crazy Browser.exe? __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 11.07.2005 um 16:06 Uhr von Heron editiert.
|
|
|
||
16.07.2005, 15:56
...neu hier
Themenstarter Beiträge: 4 |
#6
Hallo,
sorry hat jetzt etwas länger gedauert, war die Woche nicht daheim. Also: c:\program files\180search assistant\saap.exe C:\WINDOWS\urax.exe C:\Program Files\180search assistant C:\Program Files\180solutions ist alles gelöscht. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.newgenlook.info/ad/ad0277/ bringt mich allerdings immernoch auf eine Sex-Startseite und nach jedem fixen wieder da, die Desktop-Icons sowie ein Tray-Icon sind auch noch da. Die oben angegebenen registry-Einträge kann ich nicht finden, stattdessen aber HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pmxinit mit dem ich auch nix anfangen kann. C:\Programme\Crazy Browser\Crazy Browser.exe ist mein Standard-Browser, der war vorher nur nicht offen. Die Suche nach 180.dll witircl.dll blieb erfolglos. escan und ad-aware laufen grad durch. |
|
|
||
16.07.2005, 23:22
Member
Beiträge: 1132 |
#7
Poste auch noch mal ein aktuelles HJT Log
Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
18.07.2005, 10:29
...neu hier
Themenstarter Beiträge: 4 |
#8
Hallo,
hab alles durchlaufen lassen und es wurden einfach _zu_ viele Spy/ Adware-Sachen/Viren gefunden, mir wird das alles zu unkontrollierbar. Werd mein System neu aufsetzen und das nächste Mal Opera statt IE verwenden. Schau mich auch noch nach weiteren Schutzmethoden um. Meine Resignation soll Eure (Deine ) Hilfe aber nicht abwerten, auf jeden Fall vielen vielen Dank für die ausführlichen Posts! Viele Grüße, g0rg |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 15:59:08, on 10.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\program files\180search assistant\saap.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\WinRAR\WinRAR.exe
C:\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0277/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [saap] c:\program files\180search assistant\saap.exe
O4 - HKLM\..\Run: [urax] C:\WINDOWS\urax.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBtHUjAy44qd730v79M.chm::/on-line.exe
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CS2\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
Hab auch schon alle Einträge mit R1 und R0 sowie C:\program files\180search assistant\saap.exe gefixt/entfernt, aber beim nächsten Neustart war wieder alles da. Kann mir jemand helfen?