Hallo Sabina

Also, habe ich gemacht (fand diese Datei zwar nicht, glaube aber, dass ich die schon vorher mal entfernt haben könnte, als ich es noch auf eigene Faust probiert habe....).

Hier der Ewido-Log (habe aber nur den schnellen Systemscan gemacht...):

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:34:12, 15.09.2005
+ Report-Checksumme: 6D62F42C

+ Scanergebnis:

HKLM\SOFTWARE\Classes\Interface\{0985C112-2562-46F2-8DA6-92648BA4630F} -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{12E919BC-C70F-432B-B831-1180DE734505} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{66BD1BD0-3655-42E4-8CE9-16D3613B0B25} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ISTx.Installer -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ISTx.Installer\CLSID -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MediaAccess.Installer -> Spyware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MediaAccess.Installer\CLSID -> Spyware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MediaAccess.Installer\CurVer -> Spyware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MediaAccX.Installer -> Spyware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MediaAccX.Installer\CLSID -> Spyware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{67907B3C-A6EF-4A01-99AD-3FCD5F526429} -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{795EB484-BD6D-4125-93DB-D6FF015325E9} -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\VacPro.internazionale_ver4 -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\VacPro.internazionale_ver4\Clsid -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WinadX.Installer -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WinadX.Installer\CLSID -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\YSBactivex.Installer -> Spyware.YourSiteBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\YSBactivex.Installer\CLSID -> Spyware.YourSiteBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll -> Spyware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1957994488-839522115-1004\Software\IST -> Spyware.ISTBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup


::Report Ende


Es scheint zwar, als ob das Teil weg wäre (Install-Fenster kommt nicht mehr). Jetzt habe ich aber noch 'ne kleine Frage: Ich glaube, eigentlich hat sich der WinFixer nicht vollständig einnisten können, denn bei mir kam nur immer das Fenster, in dem es hiess, er würde den WinFixer runterladen. Intererssanterweise habe ich aber später festgestellt, dass wenn ich ein Programm-Update machen wollte (zum Beispiel für den Ewido, oder HijackThis, AdAware, etc.) dies nicht funktioniert hat. Zudem funktioniert das Senden/Empfangen von Mails über Outlook auch nicht mehr. Dann habe ich die Lösung gefunden: Wenn ich die Norton Internet Security ausschalte, funktioneren die Updates bzw. das Empfangen von Mails. Frage: Ist hier immer noch ein Teil des Virus aktiv oder hat sich eine Einstellung des Nortons so verändert, dass er nichts mehr durchlässt? Normal surfen geht! Falls zweiteres, weisst Du vielleicht, wo ich das rückgängig machen könnte??? Als Hinweis noch dies: Wenn ich den Computer ausschalten will, braucht er immer sehr lange, und er bringt die Meldung, dass das Programm "CCApp.Exe" nicht mehr antworte und ob ich es beenden möchte.....

Ich weiss, ich bombardiere Dich da gerade ein bisschen stark, aber Deine Hilfe war grossartig, und da dachte ich, ich häng' noch 'ne Frage an..


Auf jeden Fall schon mal herzlichen Dank!!!


Gruss

Ein etwas erleichterter Dr. Zekil

Hallo@ Dr.Zekil

einzelne "Dateien" ueberpruefen
http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/de/

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\system32\netut.dll
C:\WINDOWS\system32\winsusrm.dll

--------------------------------------------------------------------------------

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+
das neue Log vom HijackThis
__________________

Hallo Sabina

Also, hier die Scans der beiden Dateien:

netut.dll:

This is a report processed by VirusTotal on 09/15/2005 at 12:44:17 (CET) after scanning the file "netut.dll" file.
Antivirus Version Update Result
AntiVir 6.32.0.3 09.15.2005 TR/Dldr.Age.bc.19.A
Avast 4.6.695.0 09.14.2005 no virus found
AVG 718 09.14.2005 no virus found
Avira 6.32.0.3 09.15.2005 TR/Dldr.Age.bc.19.A
BitDefender 7.2 09.15.2005 no virus found
CAT-QuickHeal 8.00 09.15.2005 no virus found
ClamAV devel-20050725 09.14.2005 no virus found
DrWeb 4.32b 09.15.2005 no virus found
eTrust-Iris 7.1.194.0 09.14.2005 no virus found
eTrust-Vet 11.9.1.0 09.15.2005 no virus found
Fortinet 2.41.0.0 09.07.2005 no virus found
F-Prot 3.16c 09.15.2005 no virus found
Ikarus 0.2.59.0 09.14.2005 no virus found
Kaspersky 4.0.2.24 09.15.2005 no virus found
McAfee 4581 09.14.2005 no virus found
NOD32v2 1.1217 09.14.2005 no virus found
Norman 5.70.10 09.15.2005 no virus found
Panda 8.02.00 09.14.2005 no virus found
Sophos 3.97.0 09.15.2005 no virus found
Symantec 8.0 09.14.2005 no virus found
TheHacker 5.8.2.106 09.14.2005 no virus found
VBA32 3.10.4 09.14.2005 no virus found


winsusrm.dll:

Antivirus Version Update Result
AntiVir 6.32.0.3 09.15.2005 no virus found
Avast 4.6.695.0 09.14.2005 no virus found
AVG 718 09.14.2005 no virus found
Avira 6.32.0.3 09.15.2005 no virus found
BitDefender 7.2 09.15.2005 no virus found
CAT-QuickHeal 8.00 09.15.2005 no virus found
ClamAV devel-20050725 09.14.2005 no virus found
DrWeb 4.32b 09.15.2005 no virus found
eTrust-Iris 7.1.194.0 09.14.2005 no virus found
eTrust-Vet 11.9.1.0 09.15.2005 no virus found
Fortinet 2.41.0.0 09.07.2005 no virus found
F-Prot 3.16c 09.15.2005 no virus found
Ikarus 0.2.59.0 09.14.2005 no virus found
Kaspersky 4.0.2.24 09.15.2005 no virus found
McAfee 4581 09.14.2005 no virus found
NOD32v2 1.1217 09.14.2005 no virus found
Norman 5.70.10 09.15.2005 no virus found
Panda 8.02.00 09.14.2005 no virus found
Sophos 3.97.0 09.15.2005 no virus found
Symantec 8.0 09.14.2005 no virus found
TheHacker 5.8.2.106 09.14.2005 no virus found
VBA32 3.10.4 09.14.2005 no virus found


Hier der neueste HijackThis-Scan:

Logfile of HijackThis v1.99.1
Scan saved at 12:55:25, on 15.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\System32\TCAUDIAG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Security-Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_mp3.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.skibanff.com/skicam/AxisCamControl.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe




Noch mal was zu CCapp.exe. Wenn ich normal surfe, Outlook nicht benutze und keine Update für irgendwelche Programme runterzuladen versuche, schaltet der PC nachher ganz normal ab. Ansonsten aber kommt eben die erwähnte Fehlermeldung. Soll ich den Norten de- und neuinstallieren??

Muss jetzt zur Arbeit und bin erst heute abend spät wieder online.....bis später also.

Gruss und vielen Dank für Deine Mühe

Dr. Zekil

Hallo@ Dr. Zekil

loesche mit der Killbox:

C:\WINDOWS\system32\netut.dll

PC neustarten

ueberpruefe mit Datfind , ob die dll geloescht ist. und berichte.

30.06.2005 13:22 84'431 netut.dll

Hallo Sabina!
Danke erstmal, aber irgendwie funktioniert das nicht so richtig...

also nachdem ich kill vundo.bat geklickt habe, kommt zwar das fenster, aber nicht die englische aufforderung des type in filepatch, wenn ich nun trotzdem das C:/WINDOWS/system32/xxwts.dll
reinkopiere, wird nach einem 2nd filepatch gefragt, den ich nicht habe..
hab dqas auch schon ignoriert..dann öffnet sich aber nicht hjkthis, wenn ich den dann manuell öffne und die häckchen vor die eintraege machen möchte, gibt es die gar nicht
ich hoffe du kannst mir weiterhelfen.

Hallo Sabina

Ok, die netut.dll is weg!

Werde nun wohl oder übel mal den Norton entfernen und neuinstallieren, und dann melde ich mich nochmal. Oder gibt's etwas, dass ich noch tun muss??

Danke und Gruss

Dr. Zekil

Hallo@CPT Denim

ich selbst habe noch nie mit diesem Tool Vundofix gearbeitet...
versuche folgendes:

kopiere
C:/WINDOWS/system32/xxwts.dll
und dann noch einmal
C:/WINDOWS/system32/xxwts.dll

sollte das nicht klappen, lasse das Tool .

C:\Dokumente und Einstellungen\Kamuf.Ju\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LO439HGX<--loeschen (mit CCleaner oder manuell)

HijackThis oeffnen:setze ein Haekchen vor folgende Eintraege+ Button "Fix checked

O2 - BHO: MSEvents Object - {52B1DFC7-AAFC-4362-B103-868B0683C697} - C:\WINDOWS\system32\qoppo.dll
O4 - HKLM\..\Run: [NI.UWAS5LP_0001_0811] "C:\Dokumente und Einstellungen\Kamuf.Ju\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LO439HGX\WAS5Scan[1].exe"
O20 - Winlogon Notify: qoppo - C:\WINDOWS\system32\qoppo.dll

PC neustarten

und scanne mit ewido im abgesicherten modus und poste das Log vom Scan