Mein abendlicher Tipp
===
Running processes:
C:\WINDOWS\system32\golumm\services.exe
C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\s?it.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html <<< CoolWWWSearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html <<< CoolWWWSearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html <<< CoolWWWSearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)


O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe <<< Zwei verschiedene Run-Namen !
O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe <<<
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\i??r?.exe <<< ???
O4 - HKCU\..\Run: [Isow] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\s?it.exe <<< ???
O4 - HKCU\..\Run: [Vaxzg] C:\WINDOWS\System32\w?nlogon.exe <<< ???

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm


O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v3cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {2ED9207B-BC4E-2F4A-B885-07E8685767EE} - http://69.50.188.54/1/gdnUS208.exe <<< dialer (!?)
[..]
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab <<< igitt


O18 - Filter: text/html - {1873B3DD-929E-4A0E-AE69-5E8F3CAE89C1} - C:\WINDOWS\system32\nnkm.dll <<< CoolWWWSearch
O18 - Filter: text/plain - {1873B3DD-929E-4A0E-AE69-5E8F3CAE89C1} - C:\WINDOWS\system32\nnkm.dll <<< CoolWWWSearch
=================


:: CoolWWWSearch
Koenntest Du vielleicht mal den "Suspicious File Locator" herunterladen
dann einmal den Rechner normal mit SCAN durchsuchen, und ein zweites mal mit rechter Maustaste auf den SCAN Button gehen fuer eine erweiterte Suche in den sogenannten ADS-Streams (siehe http://www.heise.de/security/artikel/52139).Sollte was gefunden werden, wird es Dir angezeigt und auf deinem Desktop wird eine Datei die "suspicious-files.cab" angelegt, die die verdaechtigen DLLs enthaelt. Ich wuerde mich freuen, wenn Du die Datei dann an detections@spybot.info per eMail schicken koennten, zur naehren Analyse

Suspicious File Locator
http://www.safer-networking.org/en/tools/index.html


:: Anwendungsdaten\i??r?.exe <<
Das hab ich schon neuerdings oefters in Logfiles gesehen, kann es aber nicht reproduzieren. Vielleicht kann mir jemand mal einen Hinweis geben. *steht auf den schlauch*


:: http://www.xxxtoolbar.com/ist/softw...006_regular.cab << es lebe die ISTBar ;(

.
.
.