hallo,
nachdem ich nun 2tage lang alles versucht habe und escan mir untenstehnde viren ausspuckt, ich aber weder eine alte version von escan gefunden habe, noch mit kaspersky und co erfolgreich war, wollte ich fragen, ob sich jemand mein log-file anschauen kann und mir sagen was ich killen muss...? wäre extrem super...

Logfile of HijackThis v1.98.2
Scan saved at 14:47:53, on 30.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\S24EvMon.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Program Files\MKS\Bin\NetMonSv.exe
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\MKS\Bin\mksmonsv.exe
H:\Programme\QuickTime\qttask.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
H:\Programme\iTunes\iTunesHelper.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Program Files\MKS\Bin\mks_menu.exe
H:\Programme\Eset\nod32kui.exe
H:\Programme\Babylon\Babylon.exe
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
H:\Programme\Eset\nod32krn.exe
H:\WINDOWS\system32\RegSrvc.exe
H:\PROGRA~1\ICQ\ICQ.exe
H:\Programme\iPod\bin\iPodService.exe
H:\WINDOWS\system32\1XConfig.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\MKS\Bin\mks_virw.exe
H:\Program Files\MKS\Bin\mks_scan.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Programme\Microsoft Office\Office\OUTLOOK.EXE
H:\DOKUME~1\ace\LOKALE~1\Temp\mwavscan.com
H:\DOKUME~1\ace\LOKALE~1\Temp\kavss.exe
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MKS_MENU] H:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [SpySweeper] "H:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11


hier mein escan log:
File H:\WINDOWS\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.
File H:\WINDOWS\system32\winrulesak.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken.
File H:\WINDOWS\system32\winupdak.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken.
File H:\DOKUME~1\ace\LOKALE~1\TEMPOR~1\Content.IE5\KX67K12F\Setup(1-gmr-0-0-,AT)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.


bei kaspersky wird der rechner total langsam und es bleibt schließlich bei einer datei hängen deren namen ich jetzt nimmer weiss, aber eigentlich auch ein virus ist...... wenn ich diese datei löschen will geht das nicht, im abgesichterten modus existiert sie nicht....
cwwshredder findet den cww.bootconf... löscht ihn, nach fünf miunten ist er wieder da....
es waren auch schon escans dabei in der dateien wie akrules.dll und akupd.dll mit viren verseucht waren=>ähnliches problem wie oben, wollte die dateien löschen ging nicht, im abgesicherten modus nimma da.

hoster kann zwar die datei fixen, aber nur kurz.
search&destroy findet dso exploit, igetnet ein paar cwwsearches, kann diese aber wieder nur kurz eliminieren
auch nod32 etc... schaffen nix.... hat wer eine ahnung oder muss ich mir escan kaufen? bidde nich..

autoamtische hijack überprüfung bringt auch nix gscheites..
INFOS:
bs: leider noch xp, sp2,


MIR scheint es so, als ob dieser agent.bt so eine art muttertrojaner ist der mehrere mit sich bringt oder herunterlädt... diese kann man (ich) dann relativ einfach herunterlöschen, aber nur kurzfristig, weil sie beim nächsten check wieder da sind.

DANKE?!
raphael

Der da: TrojanDownloader.Win32.Agent.bt und sein Kollege dürften Teile eines Adware-Pakets sein.
Laß mal den alten eScan laufen.
(mwav.exe in den Ordner c:\bases entpacken, updaten (kavupd.exe) und dann mwav.com laufen lassen) Das ganze im abgesicherten Modus.
Berichte dann über das eScan-Ergebnis und poste ein neues Logfile rein.

sodala, habe nun escan mehrmals drüberlaufen lassen. mit dazwischen neuhochfahren und so...einiges dürfte schon wegsein....
folgendes gibt es aber noch:

Logfile of HijackThis v1.98.2
Scan saved at 08:13:12, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\Explorer.EXE
C:\bases\mwavscan.com
H:\Programme\Microsoft Office\Office\OUTLOOK.EXE
H:\WINDOWS\system32\NOTEPAD.EXE
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MKS_MENU] H:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11


=> wie man sieht sind die hosteinträge noch immer da, die auch gleich wieder kommen, auch im abgesicherten modus....
hier mein escan aus dem abgesicherten:

File H:\WINDOWS\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.
File H:\Dokumente und Einstellungen\ace\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX67K12F\Setup(1-gmr-0-0-,AT)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.


hilft dir das was?
lg
raphael

Deaktiviere die Systemwiederherstellung, öffne im abgesicherten Modus die Hostdatei mit dem Editor Windows/system32/driver/etc und lösche alle Einträge bis auf die 127.0.0.1 localhost-Einträge. Neustart, Systemwiederherstellung aktivieren.

shi,

das mit dem host-file hat leider nichts geholfen, konnte zwar alle einträge brav löschen, aber einmal den explorer dann wieder geöffnet und schon waren alle meine zusätzlichen host einträge wieder drinnen. escan findet gar keinen virus mehr ....komisch nicht....cwshredder findet den bootconf auch nachwievor und nach zwei minuten ist er wieder da....
so siehts aus:

127.0.01 localhost
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch

hier mein hijack log im normalen modus:Logfile of HijackThis v1.98.2
Scan saved at 19:30:56, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\S24EvMon.exe
H:\WINDOWS\system32\ZCfgSvc.exe
H:\WINDOWS\system32\rundll32.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Program Files\MKS\Bin\NetMonSv.exe
H:\Program Files\MKS\Bin\mksmonsv.exe
H:\Programme\Apache Group\Apache2\bin\Apache.exe
H:\Programme\Eset\nod32krn.exe
H:\WINDOWS\system32\RegSrvc.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\1XConfig.exe
H:\Programme\QuickTime\qttask.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
H:\Programme\iTunes\iTunesHelper.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Program Files\MKS\Bin\mks_menu.exe
H:\Programme\Eset\nod32kui.exe
H:\Programme\Babylon\Babylon.exe
H:\Programme\iPod\bin\iPodService.exe
H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
H:\Programme\WinZip\WZQKPICK.EXE
H:\PROGRA~1\ICQ\ICQ.exe
H:\WINDOWS\system32\wuauclt.exe
H:\PROGRA~1\WINZIP\winzip32.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Dokumente und Einstellungen\ace\Lokale Einstellungen\Temp\Hoster.exe
H:\Programme\Internet Explorer\iexplore.exe
H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html
O1 - Hosts: 127.0.01 localhost
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] H:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MKS_MENU] H:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11


zu beachten es sind "nur" 4(bzw. eigentlich 3 ohne localhost) einträge drinnen, während hoster 13 (12) anzeigt...


any more suggestions?
wäre echt toll, wenn mir jemand weiterhelfen könnte... danke.

raphael

Genau das gleiche Problem das ich hab, aber wirklich genau das gleiche. Hab leider bisher noch keine Lösung und hab wirklich alles probiert. Hat noch wer Ideen?

escan
hijackthis!
ad-aware
adware away
s&d
cw shredder
spy subtract
und antivirus schaffen es nicht die sache zu beheben, nichts zu machen.

Egal was ich lösche, es ist innerhalb eines Sekundenbruchteils wieder da....alle Programme finden die falschen Hosts einträge, aber weder die Programme noch ich kann was dran ändern, auch das ändern per Hand bringt nichts.