Trojaner-Board - coolwwwsearch.leftovers

gut dann hier mein eigens thread dafür...
also ich hab seit einiger zeit das problem, dass sich in unregelmäßigen abständen ein sog. "nachrichtenfenster" mit verschiedenartigen meldungen öffnet (meist werbung für ein programm, welches dieses problem beheben soll).
ich habe nun mit spybot s&d scannen lassen und einen eintrag names "coolwwwsearch.leftovers" gefunden, der aber leider nicht zu entfernen ist und die ausführende datei winlogon.exe heißt.
ich habe mich auch etwas schlau gemacht und einige andere foren zu diesem problem durchsucht. dort wurde immer ein hijackthis log gepostet. also hab ich mir auch dieses programm besorgt und einen log erstellt, zusätzlich habe ich noch meine winlogon.exe bei VirusTotal durchlaufen lassen.
da ich leider nicht besonders bewandert bin in solchen sachen, wie einträge aus der registry löschen etc. und ich das gefuehl habe, dass es sich bei den hijackthis logs immer um individuelle logs handelt wollte ich mal hier jemanden um hilfe bitten...

hier mein hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:03:55, on 19.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\TrayIcon.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
E:\ANWEND~1\AVGANT~1\avgcc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Anwendungen\Common\Bin\WinCinemaMgr.exe
E:\ANWEND~1\AVGANT~1\avgamsvr.exe
E:\ANWEND~1\AVGANT~1\avgupsvc.exe
E:\ANWEND~1\AVGANT~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ArcorOnline\Arcor.exe
E:\Anwendungen\Spybot - Search & Destroy\SpybotSD.exe
E:\Anwendungen\Firefox 1.5\firefox.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\anwendungen\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] E:\ANWEND~1\AVGANT~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Anwendungen\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Anwendungen\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{035B18CD-1907-407A-BC15-44E56E226736}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{035B18CD-1907-407A-BC15-44E56E226736}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\ANWEND~1\AVGANT~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - E:\Anwendungen\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

außerdem der befund von VirusTotal (sieht, denk ich mal, nicht besonders gut aus):
Complete scanning result of "winlogon.exe", received in VirusTotal at 01.19.2007, 18:07:19 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.19.2007 TR/Small.Click.M.2
Authentium 4.93.8 01.19.2007 W32/Mdmhpv.D@bd
Avast 4.7.936.0 01.18.2007 Win32:Trojan-gen. {UPX!}
AVG 386 01.18.2007 no virus found
BitDefender 7.2 01.19.2007 Trojan.Clicker.Small.B
CAT-QuickHeal 9.00 01.19.2007 W32.XMedia.G
ClamAV devel-20060426 01.19.2007 Trojan.Clicker.XMedia-1
DrWeb 4.33 01.19.2007 Trojan.Xmedia
eSafe 7.0.14.0 01.19.2007 Win32.TrojanHorse
eTrust-InoculateIT 23.73.117 01.19.2007 Win32/XMedia!Trojan
eTrust-Vet 30.3.3336 01.19.2007 Win32/Rslocal.B
Ewido 4.0 01.19.2007 Hijacker.XMedia.g
Fortinet 2.82.0.0 01.19.2007 W32/Adclick.AE!tr
F-Prot 3.16f 01.19.2007 security risk named W32/Mdmhpv.D@bd
F-Prot4 4.2.1.29 01.19.2007 W32/Mdmhpv.D@bd
Ikarus T3.1.0.27 01.09.2007 Trojan-Clicker.Win32.XMedia.G
Kaspersky 4.0.2.24 01.19.2007 Trojan-Clicker.Win32.XMedia.g
McAfee 4942 01.18.2007 potentially unwanted program PosX
Microsoft 1.1904 01.19.2007 TrojanClicker:Win32/XMedia.G
NOD32v2 1990 01.19.2007 Win32/TrojanClicker.XMedia.G
Norman 5.80.02 01.19.2007 W32/XMedia.G
Panda 9.0.0.4 01.19.2007 Trj/Rslocal.D
Prevx1 V2 01.19.2007 Trojan.Clicker.Small.B
Sophos 4.13.0 01.19.2007 Troj/AdClick-AE
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.151 01.19.2007 Trojan/AdClickerAE
UNA 1.83 01.18.2007 no virus found
VBA32 3.11.2 01.19.2007 suspected of Trojan-Downloader.Agent.122
VirusBuster 4.3.19:9 01.19.2007 TrojanClicker.XMedia.B

Aditional Information
File size: 116736 bytes
MD5: 5ea1f281a77a527e594a9414e33b0b20
SHA1: 6a5004b7b7b972b6fde64f99a0d1248567437338
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=957b19885

ich würde mich freuen, wenn mit jemand helfen könnte
gruss maxxo