Programme lassen sich nicht öffnen

    Hallo,
    ich habe folgendes Problem: nach Entfernung des Wurms 'Spybot' gem. den Anweisungen von Symantec (http://securityresponse.symantec.com/avcenter/venc/…pybot.worm.html) und der Entfernung der Registry-Einträge (befallen war ...\system32\mscnfg.exe) konnte ich noch einmal den Registry-Editor starten und dort das Entladen der DLL-Dateien (einer Eurer Tipps) eintragen.
    Seitdem kann ich werder den Registry-Editor (Anzeigefenster ist nur kurz zu sehen und wird gleich wieder geschlossen), noch den Norton AntiVirus (öffnet erst gar nicht) und den TaskManager (Symbol erscheint in Task-Leiste, ist aber auch gleich wieder weg) starten. Andere System-Programme habe ich nicht versucht, 'normale' Anwendungen wie InternetExplorer, Ofiice usw. laufen.
    Es erschien auch nach dem Startversuch des TaskManager eine Fehlermeldung aus dem EXPLORER, wobei ich nicht weiß, ob die etwas damit zu tun hat.
    Nach dem Neustart im abesicherten Modus habe ich die DLL-Entlade-Geschichte wieder entfernt, seitdem kam der EXPLORER-Fehler nicht mehr, aber die o.a. Programme lassen sich -wie beschrieben- immer noch nicht starten.
    Könnt ihr mir sagen, ob und was ich falsch gemacht habe und wie ich wieder an meine Programme komme ?

    Zitat

    das Entladen der DLL-Dateien (einer Eurer Tipps) eintragen.

    Sollte das mit "AlwaysUnloadDLLs" gemeint sein?

    Zitat

    Nach dem Neustart im abesicherten Modus habe ich die DLL-Entlade-Geschichte wieder entfernt, seitdem kam der EXPLORER-Fehler nicht mehr, aber die o.a. Programme lassen sich -wie beschrieben- immer noch nicht starten.

    Noch nie gehört, das es dann derartige Fehler gab.

    Zu dem Tipp gab es allerdings einige kontroverse Diskussionen hier im Board.

    Diskussions-Thread

    Zitat

    Seitdem kann ich werder den Registry-Editor (Anzeigefenster ist nur kurz zu sehen und wird gleich wieder geschlossen), noch den Norton AntiVirus (öffnet erst gar nicht) und den TaskManager (Symbol erscheint in Task-Leiste, ist aber auch gleich wieder weg) starten.

    Erstelle mal ne Kopie der "regedit.exe" im gleichen Ordner und benenne diese Kopie in "regedit.com" um.
    Gleiches mit "taskmgr.exe" im Ordner %windir%\system32 in "taskmgr.com"

    Wenn die dann starten und offen bleiben, ist entweder dein Wurm noch da oder du hast noch mehr Schrott drauf.

    Starten die trotzdem nicht versuch es noch mal mit booten auf "nur Eingabeaufforderung" (F8 Taste beim Start des PC)

    Da erscheint dann eine DOS-Box statt des Explorers, aus der alles gestartet wird.

    Den Taskmanager kannst Du dann als Explorer benutzen über unten rechts Neuer Task -> Durchsuchen um auch einen Versuch mit deinem NAV zu probieren.

    Ansonsten noch zu empfehlen... unser Downloadbereich

    Für Spyware ect. aus der DL-Section

    Gegen Viren
    ...weil NAV ist nicht so prickelnd. Das aber nur subjektiv von mir.

    Firewalls
    ...wobei ich Outpost empfehle (ebenfalls subjektiv), da sie am wenigsten Resourcen verbraucht und besser konfigurierbar als Nortons IS ist.

    hope dies last

    tschöö... ast

    Hallo zusammen,
    erstmal vielen Dank für die schnelle und ausführliche Antwort. Ich habe daraufhin erstmal die Norton-Programme rausgeworfen und statt dessen das neueste AntiVir mit den letzten Updates geladen und ausgeführt. Erfolg: AntiVir hat noch eine ganze Menge Viren und Würmer gefunden und entfernt. Ebenso habe ich mit AdAware (Version 6, neuestes Update) alle SpyWare-Spione rausgeschmissen. Nach dem letzten Scan gestern abend sind jetzt keine Viren, Würmer und Spione mehr auf dem Computer.
    Es kommt aber nach wie vor -sporadisch- der Fehler 'EXPLORE.EXE meldet einen Fehler' (hatte also nichts mit AlwaysUnloadDLL zu tun), ebenso lassen sich der TaskManager und RegEdit (wie beschrieben) im normalen Modus nicht starten. Auch wenn ich RegEdit und Tskmgr32 nach .com umbenenne, passiert nichts.

    Gibt es dafür noch ein Erklärung oder einen Tipp?

    Explore.exe oder explorer.exe? Ersteres gehört zum GRAYBIRD.G- Virus.
    Wenn du aktive Trojaner/Backdoors/Würmer aufm Rechner hattest ist es IMHO Pflicht den Rechner neu aufzusetzen und alle Paßwörter zu ändern( wegen der Sicherheit...).
    Allein wegen Wurm Spybot würd ich schon neu aufsetzen denn
    "Der Wurm verfügt auch über eine Backdoorkomponente, die einem bösartig gesinnten Anwender die Steuerung über den infizierten Computer mittels IRC-Kanälen ermöglicht und beliebige der folgenden Aktionen ausführen lässt:

    keyboard logging
    packet logging
    portscan
    flooding
    stealing cached passwords..."
    Quelle: http://www.sophos.de/virusinfo/analyses/w32spybotcg.html ( und das ist nur eine Variante des Wurms)
    Mit dem formatieren und neu aufsetzen dürfte sich dann auch dein Problem erledigt haben.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Zitat

    Mit dem formatieren und neu aufsetzen dürfte sich dann auch dein Problem erledigt haben.

    Bis zum nächsten Mal. :twisted:

    Deshalb empfehle ich mal in meiner Sig auf hyricans seat belt zu klicken oder beim Autor selbst :happy: in die Sig auf Link>allgemeine Tips zur Systemsicherheit.

    Führen beide zum gleichen Thread und der ist äußerst gut.

    hope dies last

    tschöö... ast

    Hallo und nochmals vielen Dank für die Antworten.

    Ich habe mein Problem erst mal durch formatieren und neu installieren gelöst.

    Zum weiteren Vorgehen eine Frage: habt ihr schon Erfahrungen mit dem Sicherheitstool von F-secure? Und wenn ja, ist es empfehlenswert?


    Schönen Tag noch

    http://www.trojaner-info.de/news/avsoft_fsecure_jan04.shtml
    Persönliche Erfahrungen hab ich keine damit, ich favorisiere das AVK2004, ist auch etwas günstiger und hat 2 Searchengines. Eine Desktopfirewall finde ich für den Normaluser überflüssig was man aber auch im Link aus meiner Signatur ausführlicher nachlesen kann*grins*.

    Hast du auch deine Paßwörter geändert? Das solltest du. Zum weiteren Vorgehen solltest du zumindest den Browser wechseln und deine Dienste konfigurieren. Weitere Tips finden sich wie auch schon von ast angesprochen im Link aus meiner Sig oder in seiner Sig( is eh derselbe Link*grins*).

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Will hier ja eigentlich nicht als Meckerkopp dastehen (is mir aber eh egal), aber F-Secure ist IMO Schrott.
    Momentan zumindest.
    Ließ sich erst nicht korrekt insten (nur Fehler beim Start), dann aber auch nicht über die De-Inst-Routine entfernen.
    Musste das einzeln im Sys und in der Reg säubern. :evil:

    Das sind Sachen die mich zur Weißglut bringen und ein Programm für lange Zeit von meiner Wunsch-/ Gebrauchsliste verbannen.

    Zitat

    Eine Desktopfirewall finde ich für den Normaluser überflüssig

    Dabei gehe ich nicht mit Hyrican konform, aber das ist allgemein bekannt, macht aber nix. :twisted:

    hope dies last

    tschöö... ast

    Is zwar Januar gewesen der letzte thread aber ich versuchs trotzdem mal.

    Also bei mir isses so, dass ich den Taskmanager nich öffnen kann, allerdings mit der option kopieren un in Tsakmgr.com umbenennen funzt er, gleicheres beim regedit. Dann hab ich mir alle möglichen tools ausfindig gemacht und die mießten blockeren beim installieren, zB AVG heißt des glaub ich wollt ich starten des wird einfach beendet. Auf einer Webside hab ich auf einen Link "Antivir" geklickt un die hat sich beendet. Mein Verdacht is dass der Wurm/Virus alle bedrohlichen Programme selbst ausmacht. Ich hab alles versucht (Spybot, anitvir, ad-aware, Spyware Blaster, usw.) gar nix gekriegt hab au a² ausprobiert...

    ICH BRÄUCHTE DRINGEND HILFE.

    Hoffentlich findet diesen Thread noch jemand.


    Danke im Vorraus....

    hi...


    versuche dan auch nochmal avert stinger und hijack this
    falls avert stinger nichts findet, einfach hijack this starten und ein scan machen... evt. problemen beheben lassen von hijack this oder dein log von hijack this hier posten und wir helfen dir gerne weiter falls du nicht weisst was du machen musst...

    beide tools findest fu im downloadbereich in der kategorie sicherheit... ;)


    gruss...


    franky...

    Ich hab nochma wat Neues, ich kann den Taskmgr.exe in Taskmgr.com koieren dann funzt er gnaz normal. In nem anderen Forum gabs nen Tipp, dass ein Virus der ähnlich (gleich) wie meiner arbeitet sich als SV.Chost oder so einnistet. Dieses Ding hab ich schon seit längerer Zeit (4-5 Monate) dann hab ich des beendet un promt is der Comp runtergefahren wegen irgendwas mit NT.plaplapla
    Weiß einer von euch wat darüber?

    Also da war zwar nen riesenbutton mit log-datei aber ich hab trotzdem 2 tage gebraucht bs ich ih ngefunden hab ;).
    Hier das Log gerade gemacht. Ich hab ma bisel weiterrecheriert un der
    wahrscheinlichste virus is der msblast oder ne ver davon der sich im sv.chost einnistet... . Hoffentlich findet ihr hier was

    Logfile of HijackThis v1.98.0
    Scan saved at 13:48:59, on 08.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\ups.exe
    C:\WINDOWS\htpatch.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\Dit.exe
    C:\Programme\Microsoft Hardware\Mouse\point32.exe
    C:\WINDOWS\System32\taskswitch.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    D:\PROGRA~1\RCrawler\RCrawler.exe
    D:\programme\QuickTime 6\qttask.exe
    C:\WINDOWS\DitExp.exe
    D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
    D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE
    C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
    D:\Programme\ZoneAlarm\zlclient.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    D:\Programme\Papa's Prog\TuneUp Utilities\MemOptimizer.exe
    D:\Programme\a2\a2guard.exe
    D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.4\Desktopprogramm ver.1.4.exe
    C:\WINDOWS\System32\ZoneLabs\vsmon.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    D:\Programme\Hijack 1.98\HijackThis.exe
    C:\WINDOWS\System32\notepad.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
    O1 - Hosts: die von Microsoft TCP/IP
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [SysInit] wininit32.exe -drivers
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
    O4 - HKLM\..\Run: [Registry Crawler] D:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
    O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\QuickTime 6\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQ\ICQ 4.0\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [InstantAccess] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
    O4 - HKLM\..\Run: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
    O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
    O4 - HKLM\..\Run: [ControlCentreTray] "D:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -drivers
    O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
    O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\Papa's Prog\TuneUp Utilities\MemOptimizer.exe autostart
    O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
    O4 - Startup: Desktopprogramm ver.1.4.lnk = D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.4\Desktopprogramm ver.1.4.exe
    O4 - Startup: Kräftigungswecker.lnk = ?
    O4 - Global Startup: Pagis-Zeitplan-Monitor.lnk = D:\Programme\Xerox\ControlCentre 2.0\Pagis\Monitor.exe
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\http://GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://c:\programme\google\http://GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\http://GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\http://GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
    O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.…g/GoogleNav.cab
    O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.161 194.25.2.129

    hi...


    folgender zeile musst du beheben:

    Zitat

    O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab

    tscash ist ein dialer... ;)

    nachher solltest du auf den rechne noch suchen nach:
    TSCore.exe (Dialer)
    TSTimeCash.exe (vorbezahlte )
    TSVc.exe (VoiceCash - Anruf auf eine 0190, Content gibts solange, bis aufgelegt wird, damit auch DSL Nutzer vom Maehrwert profitieren koennen. Ob das jemand macht?).
    und diese evt. entfernen...
    auch solltest du den cwshredder laufen lassen, ebenso wie lavasoft ad-aware, mit vx2 plugin !, spybot search & destroy und spywareblaster...
    ich glaube al die proggis werden bei dir noch ein haufen finden...
    sicherheitshalber kannst du auch mal den avert stinger scannen lassen...

    nachher sollte dein problem behoben sein... ;)
    alle tools findest du natürlich in unseren downloadbereich, abteilung sicherheit...

    gruss...


    franky...

    Also ich habe nun herausgefunden, dass ich den W32.Xabot.Wurm hatte und habe diesen erfolgreich (hoffe), mithilfe einer Analyse von Symantec, von meinem rechner entfernt.

    http://www.symantec.com/avcenter/venc/…xabot.worm.html

    Da ich auf meine um die 20 Suchen im google keine einzige genaue Beschreibung (geschweige denn Andeutung) dieses Wurms gefunden hab, möchte ich meinen Fall beschreiben in der Hoffnung ein paar anderen Leuten zu helfen.

    Symptome:

    Mir ist er das erste Mal aufgefallen als ich mit Start\Ausführen die "msconfig" aufrufen wollte und dies mir durch den Administrator (ich selbst normalerweiße) verwährt wurde. Außerdem ließ sich der Taskmanager einfach nicht öffnen, genauso wie die "regedit.exe" (Registry). Außerdem zeigte mir das Programm "Security Task Manager" den Prozess "wininit32.exe" an und stufte diesen mit 89% als gefährdend ein. (Security Task Manager bei google oder so suchen). Desweiteren hatte ich den Prozess "mdm.exe" am Laufen. Allerdings weiß ich noch nicht richtig welche Zusammenhänge mit dem Doly-Hackprogramm bestehen. Desweiteren hab ich im Word ein beliebiges Dokument erstellt und es Virus.doc genannt. Sofort wurde mein Word geschlossen und wenn ich auf eine Seite mit Antivir oder bei google Virus eingeb wurde das Browserfenster geschlossen (jetzt aufgehoben) ->also der Virus.

    Erklärung:

    Auf der Symantec-Seite auch beschrieben, der Wurm fügt der Registry diverse Einträge hinzu, die verhindern, dass bestimmte Programme laufen wie zB msconfig oder verschiedene Anti-Viren-Progs. Außerdem löscht er eine Menge vorhandener Einträge aus den "Run" Ordnern ich bin bisher noch nicht daraufgekommen welche auswirkungen, diese Löschungen haben, nachdem er wieder weg ist (ob man sie braucht...)

    Lösung:

    Einfach die Anweisungen von der Symantec-Seite folgen.


    Ich übernehme keine Verantwortung, dass die hier aufgeführten Informationen stimmen, allerdings war es auf meinem System so.[/u]

    Wie mehr? meinste Wirkungen??

    Noch ne Frage am Anfang von diesem Topic wurde gemeint, dass wenn man taskmgr.exe in com ändert und des dann läuft (selbe mit regedit) dann hat man viren bei mir funzt des immer noch...?

    hi...


    gewisse viren veranstalten diese änderung...
    falls sich das bei dir vortut solltest du mal einen aonlinescan machen und weitersuchen, weil dan haste immer noch problemen aufm rechner...

    tscash schon entfernt ???
    das ist nähmlich ein sehr übler dialer... ;)
    und die leute hinter tscash schicken sehr gerne telefonrechnungen: ist wohl der bt, über die rosa t.


    gruss...


    franky...

    Tcash hab ich nur die .exe gefunden und gelöscht.

    Wo kann ich den onlinscan machen und welche viren könnten des grob sein ich bin grad bei symantec diverse viren durch aber die registry-änderungen warn bei mir nich (meint ich hab den virus nich) un ich find au nix mehr im prozessspeicher was irgendwie komisch sein könnte.

    hi...


    versuche nochmal den mcafee

    http://www.bul-online.de/av/onlinescan.shtml

    sollte der auch nichts finden, beobachte einfach mal den sys...
    installiere dir mal activeports, und beobachte mal etwa tagen welche proggis über welche ports communizieren... findest du da nicht abnormales, muss wohl alles ok sein...
    mache auch nochmal hijackthis-scan, dann siehste sofort ob da noch was unerwunschtes anwesend ist...

    tscash legt auch andere dateien an, aber sehr oft nach lust und lanen, diese waren nur die meist bekannte... sollten aber mit cwshredder und hijackthis entfernt werden können...


    gruss...


    franky...