WareOut.exe DNSChanger.S.1.B Qhost.QR Click.526 Drop.Small.XL Vidro

#1 Hi
Ich komme nicht mehr weiter, alles hat einst damit angefangen, dass beim Surfen mit dem IE plötzlich eine Datei namens WareOut.exe auf den Desktop geladen wurde
Hab ich natürlich sofort gelöscht und seither komt vom Windows Security Center die Meldung

"Your Computer might be at risk
- your virus protection status is bad
- spyware activity detected
Click this balloon to fix the problem"

und ein Fakefenster bei dem ebenfalls über trojaneraktivität gewarnt wird, aber bei einem Klick auf Ja (es wird hilfe angeboten) wird man auf eine omnöse Site verlinkt, habe ich bisher nur ein mal gemacht, deswegen weiß ich auch nicht mehr auf welche site verlinkt worden ist

Habe sowohl den RegCleaner, als auch die TuneUp Utility und AdAware drüber laufen lassen.

Es hat sich einigermaßen beruhigt, aber sobald ich ein Browserfenster öffne meint AntiVir eines der im Titel-/Betreffsfeld genannten Trojanschen Pferde zu erkennen

Hier mein HijackThis Logfile von heute, vielen Dank im Voraus

Logfile of HijackThis v1.99.1
Scan saved at 09:22:47, on 02.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\MeineProgramme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\MeineProgramme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\alg.exe
C:\MeineProgramme\Browser\Firefox\firefox.exe
C:\MeineProgramme\Browser\Servant Salamander 2.0\salamand.exe
C:\latest Software\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\MeineProgramme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=090205 Seri*hier nicht!*=DR12WEC-5053402-RGL lang=DE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\MeineProgramme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\Internet\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B539B264-0BC4-4CC9-BB11-91F594BD6882}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6B520B8-3A5E-4027-8D24-557824C2F6A5}: NameServer = 195.95.218.18,85.255.112.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\MeineProgramme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\MeineProgramme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\MeineProgramme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#2 Da sind noch ein paar versteckte Dateien. Fix aber erstmal das:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=090205 Seri*hier nicht!*=DR12WEC-5053402-RGL lang=DE
O17 - HKLM\System\CCS\Services\Tcpip\..\{B539B264-0BC4-4CC9-BB11-91F594BD6882}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6B520B8-3A5E-4027-8D24-557824C2F6A5}: NameServer = 195.95.218.18,85.255.112.11
starte dann neu.

Nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml

Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den REchner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier.
__________
MfG Ralf
SEO-Spam Hunter

#3 In Ordnung, im Hijackthis habeich alle oben genannten Einträge gefixt, außer den O4 Eintrag, weil der anscheinend etwas mit Corel Draw zu tun hat...und da ich auf dieses Programm angewiesen bin bin ich deswegen noch sehr skeptisch, vielleicht kannst du mir ja genau erklären, was sich hinter diessem Eintrag verbirgt?

Hier der BlackLight Log:

11/04/05 15:11:29 [Info]: BlackLight Engine 1.0.25 initialized
11/04/05 15:11:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/04/05 15:11:30 [Note]: 4019 4
11/04/05 15:11:30 [Note]: 4005 0
11/04/05 15:11:41 [Note]: 4006 0
11/04/05 15:11:41 [Note]: 4011 1520
11/04/05 15:11:42 [Note]: FSRAW library version 1.7.1013
11/04/05 15:12:17 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
11/04/05 15:12:17 [Note]: 10002 1
11/04/05 15:12:22 [Info]: Hidden file: C:\WINDOWS\system32\favme.exe
11/04/05 15:12:22 [Note]: 10002 1
11/04/05 15:12:22 [Info]: Hidden file: C:\WINDOWS\system32\hclean32.exe
11/04/05 15:12:22 [Note]: 10002 1
11/04/05 15:12:23 [Info]: Hidden file: C:\WINDOWS\system32\loadctr32.exe
11/04/05 15:12:23 [Note]: 10002 1
11/04/05 15:12:24 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
11/04/05 15:12:24 [Note]: 10002 1
11/04/05 15:12:26 [Info]: Hidden file: C:\WINDOWS\system32\csrvu.exe
11/04/05 15:12:26 [Note]: 4002 32
11/04/05 15:12:26 [Note]: 4003 1
11/04/05 15:12:26 [Note]: 10002 1
11/04/05 15:14:23 [Note]: 4007 0

Thanks

#4 Der Coreldraw Eintrag scheint eine Registrationserinnerung sein, also nicht noetig, du haettest es aber auch mit Hilfe der Backups, die Hijackthis erstellt wieder herstellen koennen.

Du muss alle DAteien, die Blacklight anzeigt einzeln anklicken und dann rename druecken, bis auf diese Datei C:\WINDOWS\system32\wbem\wbemtest.exe. Dann neu starten und die anderen Dateien lowschen. Sie haben nun eine andere endung. Sie heissen nun ungefaehr so:
csrvu.exe.ren anstatt csrvu.exe usw.
__________
MfG Ralf
SEO-Spam Hunter

#5 Alright

csrvu.exe
ntfsnlpa.exe
loadctr32.exe
hclean32.exe
favme.exe

wurden umbenannt und gelöscht

Vielen Dank für die schnelle Hilfe

#6 Erstelle bitte noch eine neue Startseite und erstelle ein neues Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter

#7 Was für eine Startseite meinst du?

Antivir hat sich schon wieder gemeldet (QHost.EC im System Volume Information Ordner), aber es ist schon ruhiger geworden, sowohl das eingangs beschriebene Fakefenster und auch die Windows Security Center Meldung tauchten bisher nicht wieder auf


Logfile of HijackThis v1.99.1
Scan saved at 20:15:49, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\MeineProgramme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\MeineProgramme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\MeineProgramme\Browser\Servant Salamander 2.0\salamand.exe
C:\MeineProgramme\Miranda IM\miranda32.exe
C:\MeineProgramme\Internet\Vivian Mail\vivian.exe
C:\MeineProgramme\Internet\Vivian Mail\modules\vview.exe
C:\MEINEP~1\BROWSER\FIREFOX\FIREFOX.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\latest Software\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\MeineProgramme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\system32\hclean32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\MeineProgramme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\MeineProgramme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\MeineProgramme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\MeineProgramme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#8 Das bitte nochmal fixen:
O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\system32\hclean32.exe

Nutze CCleaner: www.ccleaner.com und deaktiviere die Systemwiederherstellung, starte neu und aktiviere sie wieder:
http://www.bsi.bund.de/av/texte/wiederher.htm

Danach kannst du noch einen kontrollscan mit escan machen (Update nicht so wichtig)
http://cidres-security.de/escan.html
__________
MfG Ralf
SEO-Spam Hunter

#9 okay,
Eintrag im Hijackthis gefixt, danach mit CCleaner gescannt und jede Menge Datenmüll enfernt (über 60MB)
nachfolgend habe ich die Systemwiederherstellung deaktiviert und nach dem Nesutart wieder aktiviert
Auf den escan habe ich erst einmal verzichtet

hier das aktuellste hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:03:41, on 04.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\MeineProgramme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\MeineProgramme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\MeineProgramme\Internet\Vivian Mail\vivian.exe
C:\MeineProgramme\Internet\Vivian Mail\modules\vview.exe
C:\MEINEP~1\BROWSER\FIREFOX\FIREFOX.EXE
C:\MeineProgramme\Browser\Servant Salamander 2.0\salamand.exe
C:\latest Software\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\MeineProgramme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\MeineProgramme\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\MeineProgramme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\MeineProgramme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\MeineProgramme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ihr seid spitze!

#10 Vielleicht hilft auch da CounterSpy
http://research.sunbelt-software.com/Thread_display.cfm?name=WareOut&Thread=40280
__________
MfG Argus

#11 Hi
Danke für die Hilfe...bis jetzt ist alles ruhig
keine Antivir Meldungen und auch keine Windows Security Meldungen mehr
Falls sich wieder etwas ergeben sollte melde ich mich noch mal
Könnt ihr mir eine gute Firewall empfehlen?

Cheers

www.assistuff.de

#12 Ich wuerde es bei der Windowseigenen lassen und etwas mit Verstand aam Rechner arbeiten. Das bringt dich weiter und muellt deinen Rechner nicht zu! Achso, eine Firewall haette dich vor dieser Art Malware nicht(komplett) geschuetzt.
__________
MfG Ralf
SEO-Spam Hunter