hallo zusammen!
bin neu hier, hatte bisher kaum probleme mit viren und spyware. jetzt aber schon: seit heute schiebt der ie mir sogenannte "sponsored links" (laut statusanzeige) unter... also wenn in der html-datei z.b. das wort "news" vorkommt, wird dieses wort automatisch zu einem grünen link, welcher letztendlich nach begin2search.com endet... weiß nicht weiter, ich finde keinerlei dateien oder keys von der begin2search-toolbar mehr, und trotzdem sind die links noch da. hier das HijackThis v1.98.2 log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.98.2
Scan saved at 23:51:41, on 23.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINNT\system32\dsktrf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Alle.m3u.lnk = Listen\Alle.m3u
O4 - Startup: ICQ.exe.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/A...ler/dwnldr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{896099C4-4D5B-4C48-B383-19B068FDD026}: NameServer = 192.168.121.252,192.168.121.253
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
         

bin ratlos... wäre dankbar für hilfe.

Fixe diesen Eintrag und lösche diese Datei im abgesicherten Modus:
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINNT\system32\dsktrf.dll

Wende anschliessend sicherheitshalber eScan wie beschrieben an:
http://www.trojaner-board.de/42731-escan-anleitung.html

btw:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html

wunderbar, die sponsored links sind weg. dankeschön. aber wie kommts denn, dass AdAware die verbliebene Spyware (waren laut escan noch 6 dateien da) nicht erkennt? außerdem: ist es normal, dass escan ne knappe stunde braucht, um 9,77GB zu scannen? mit mal eben scannen (wie bei AdAware) ist da ja nix...

Zitat:

dass AdAware die verbliebene Spyware (waren laut escan noch 6 dateien da) nicht erkennt?

Die Adware wurde wahrscheinlich noch nicht in den Signaturen mit aufgenommen oder ist Lavasoft nicht bekannt, darum sollte man auch verdächtige Dateien einsenden, damit die AV Hersteller darauf reagieren können.
btw:
Es gibt keinen Scanner, ob er nun nach Spy-, Ad- oder Malware scannt ist egal, der alles kennt und auch findet.

Zitat:

escan ne knappe stunde braucht, um 9,77GB zu scannen

Nicht unbedingt. Wurden viele Errors angezeigt? Hast du nebenher andere Programme mitlaufen lassen?

grade mal 2 errors, keine anderen programme...