Hallo Leute, ihr seit meine letzte Hoffnung. Ich habe bereits alles versucht. Ob HijackThis oder Escan, über Lavasoft bis Spybot ich habe alle Programme laufen lassen. Sowohl im normalen, als auch im Abgesicherten Modus. Alle Programme haben auch diverse Trojaner gefunden und erfolgreich entfernt.
Doch sobalt ich im Netz bin habe ich auf einigen Seiten ein "umadressierung" die Adresse lautet dann:
http ://69.50.190.131/?to=dname&from=in

Ich habe gelesen es kann ein so genannter Rootkit sein. Aber ist das wahrscheinlich?
Sowohl Spybot als auch Ad-Aware SE finden bei mir im Moment nichts im System, ich habe gerade nochmal gescannt.
Doch sobald ich ein bisschen im Netz surfe kommt wieder der Redirect auf die genannte Adresse oder ich werde mit irgendwelchen XXX Seiten verlinkt. Kann doch nicht sein oder??

Was muss oder besser kann ich jetzt noch machen damit ich das wieder in den Griff bekomme.

Gruß vom Timo

Hallo,
poste bitte ein komplettes HiJackThis-Logfile hier rein. Dann sehen wir weiter.
cacatoa

Hier mal meinen aktuelle HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:41:58, on 06.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\PROGRA~1\eScan\avpm.exe
D:\SYSTEM~2\NORTON~1\NORTON~1\NPROTECT.EXE
D:\SYSTEM~2\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\System-Tools\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\rundll32.exe
D:\DVD-Tools\HPDVD Writer\HP CD-DVD\Umbrella\DVDTray.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Grafik-Tools\Adobe\Acrobat\Distillr\Acrotray.exe
D:\DVD-Tools\Power DVD\PDVDServ.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
D:\System-Tools\StatBar\StatBar.exe
C:\WINDOWS\system32\devldr32.exe
D:\System-Tools\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Avant Browser\avant.exe
C:\PROGRA~1\eScan\AvpM.exe
D:\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Software\Software Juni 2005\Hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik-Tools\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [zBrowser Launcher] D:\System-Tools\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DVDBitSet] "D:\DVD-Tools\HPDVD Writer\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [DVDTray] "D:\DVD-Tools\HPDVD Writer\HP CD-DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Grafik-Tools\Adobe\Acrobat\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [RemoteControl] "D:\DVD-Tools\Power DVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [StatBar] D:\System-Tools\StatBar\StatBar.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Symbolleis&te - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{53C714C0-C714-4C7E-A601-2912CCB691F7}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\SYSTEM~2\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - D:\SYSTEM~2\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Also, auf den ersten Blick sehe ich mal nix dramatisches.
Laß mal Spybot S&D 1.4 und AdAware SE drüberlaufen; interessiert mich, was die beiden finden (bitte im abgesicherten Modus und dann die Ergebnisse hier rein posten). Hast Du zwar schon gemacht, aber ich weiß nicht, was dabei rauskam; deshalb bitte nochmal neu, zumal du ja mittlerweile schon wieder im Netz warst).
Außerdem: Was hat eScan wo gefunden?
cacatoa

Habe ich gemacht, sogar Escan findet im Moment absolut nichts. Ich weiß eben nicht woran diese umadressierung (redirect) kommt. Auf diversen Boards wird halt von so einem Rootkit gesprochen. Jetzt habe ich halt Angst, weil ich ne Menge Online Banking usw. mache.

Auf ein rootkit zu kommen und es nachzuweisen, dürfte schwierig werden. Ich werd allerdings aus dem, was bei dir passiert auch nicht schlau. Ich bitte noch andere, sich den thread mal anzuschauen.
cacatoa
Edit: Servus Haui! Bitte mal kucken!

Hier auf dem Board hat auch schon jemand das gleiche Prob gehabt.

http://www.trojaner-board.de/archive...p/t-17696.html

Daher komme ich auf die Sache mit dem Rootkit

Ich bin um jeden Tipp dankbar, denn ich möchte jeden Möglichkeit ausprobieren, bevor ich mein System neu aufsetze.
Gruß vom Timo

Wenn du Online-Banking betreibst, solltest du dem System vertrauen können. ->Das kannst du nur dann, wenn du es neu aufsetzt.

Zu deinem Problem:
Was hast du schon alles gelöscht?
Ich denke, es könnte sich um eine CWS-Variante (msbho variant - ist auf der Seite auch beschrieben) handeln.
Evtl. sieht man in einem Silent Runners-Logfile etwas mehr.


EDIT: Hi cacatoa

Ich habe mir leider die Trojaner nicht aufgeschrieben die ich gelöscht habe. Ich sitzte hier jetzt schon seit 2 Tagen an meinem Baby.
Ich habe hier noch einen anderen User gefunden der das gleiche Problem hat. Er hat eine falsche DNS IP Adresse als Ursache entdeckt. Bei mir wird die aber automatisch vergeben, kann das dann trotzdem sein??

http://help.lockergnome.com/lofivers...hp/t36792.html

Hier der Silent Runners LOG file:
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"StatBar" = "D:\System-Tools\StatBar\StatBar.exe" ["Globe Software"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"zBrowser Launcher" = "D:\System-Tools\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]
"hplampc" = "C:\WINDOWS\system32\hplampc.exe" ["Hewlett-Packard"]
"BluetoothAuthenticationAgent" = "rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent" [MS]
"DVDBitSet" = ""D:\DVD-Tools\HPDVD Writer\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI" ["Hewlett-Packard Company"]
"DVDTray" = ""D:\DVD-Tools\HPDVD Writer\HP CD-DVD\Umbrella\DVDTray.exe"" ["Hewlett-Packard Company"]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Acrobat Assistant 7.0" = ""D:\Grafik-Tools\Adobe\Acrobat\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]
"RemoteControl" = ""D:\DVD-Tools\Power DVD\PDVDServ.exe"" ["Cyberlink Corp."]
"MailScan Dispatcher" = ""C:\Programme\eScan\LAUNCH.EXE"" ["MicroWorld Technologies Inc."]
"eScan Updater" = "C:\PROGRA~1\eScan\TRAYICOS.EXE /App" ["MicroWorld Technologies Inc."]
"eScan Monitor" = "C:\PROGRA~1\eScan\AVPMWrap.EXE" ["MicroWorld Technologies Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PC Tools"]
{724d43a9-0d85-11d4-9908-00400523e39a}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll" ["Siber Systems"]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = "AcroIEToolbarHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]
{B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\OFFICE~1\OFFICE~1\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\OFFICE~1\OFFICE~1\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Office-Tools\Office2003\OFFICE11\msohev.dll" [MS]
"{3E45A48C-48A6-4E11-9552-0C6C1589E0E1}" = "PlanDesign FT Plan"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nemetschek Shared\System\NemPlan_ShellExt10.dll" ["Nemetschek AG"]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Adobe\Acrobat\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "D:\BRENNE~1\Alcohol\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "D:\Musik-Tools\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\WinRar 3.30\rarext.dll" [null data]
"{0DE76E1C-40C5-4fae-A59A-44EF606A0B02}" = "ABBYYS2OContextMenuExtension"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\ABBYY ScanTo\STOShellExtension.dll" ["ABBYY (BIT Software)"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{FCF608CF-5716-47C3-A1A8-991D873AF72B}" = "Delphi Context Menu Shell Extension Example"
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Exifer\exifershellext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ABBYYS2OContextMenuExtension\(Default) = "{0DE76E1C-40C5-4fae-A59A-44EF606A0B02}"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\ABBYY ScanTo\STOShellExtension.dll" ["ABBYY (BIT Software)"]
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Adobe\Acrobat\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\WinRar 3.30\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\WinRar 3.30\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ContMenu\(Default) = "{FCF608CF-5716-47C3-A1A8-991D873AF72B}"
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Exifer\exifershellext.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\System-Tools\WinRar 3.30\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\ACD Wallpaper.bmp"


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "D:\System-Tools\Tuneup 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"Symantec Drmc" -> launches: "C:\Programme\Gemeinsame Dateien\Symantec Shared\SymDrmc.exe /CUSTOM /SCHEDULE" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
"XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" ["ParetoLogic Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
mwtsp.dll ["MicroWorld Technologies Inc."], 01 - 19, 39
%SystemRoot%\system32\mswsock.dll [MS], 20 - 22, 25 - 38
%SystemRoot%\system32\rsvpsp.dll [MS], 23 - 24


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{724D43A0-0D85-11D4-9908-00400523E39A}" = "&RoboForm" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll" ["Siber Systems"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{724D43A0-0D85-11D4-9908-00400523E39A}" = "&RoboForm" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll" ["Siber Systems"]

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{724D43A0-0D85-11D4-9908-00400523E39A}" = "&RoboForm" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll" ["Siber Systems"]

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\ = "Adobe PDF" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Grafik-Tools\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]

{320AF880-6646-11D3-ABEE-C5DBF3571F46}\
"ButtonText" = "Ausfüllen"
"MenuText" = "RF - Formular ausf&üllen"
"Script" = "file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html" [file not found]

{320AF880-6646-11D3-ABEE-C5DBF3571F49}\
"ButtonText" = "Speichern"
"MenuText" = "RF - &Formular speichern"
"Script" = "file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html" [file not found]

{724D43AA-0D85-11D4-9908-00400523E39A}\
"ButtonText" = "RoboForm"
"MenuText" = "RF - RoboForm-Symbolleis&te"
"Script" = "file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html" [file not found]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
eScan Monitor Service, KAVMonitorService, "C:\PROGRA~1\eScan\avpm.exe /service" ["Kaspersky Labs."]
eScan Server-Updater, eScan-trayicos, "C:\PROGRA~1\eScan\TRAYSSER.EXE" ["MWTI2"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"]
Norton Unerase Protection, NProtectService, "D:\SYSTEM~2\NORTON~1\NORTON~1\NPROTECT.EXE" ["Symantec Corporation"]
Speed Disk service, Speed Disk service, "D:\SYSTEM~2\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 42 seconds, including 14 seconds for message boxes)

Das einzige was mir auffällt ist das hier

Zitat:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"StatBar" = "D:\System-Tools\StatBar\StatBar.exe" ["Globe Software"]

http://castlecops.com/s3531-STATBAR_exe.html

Dass das mit deinem Problem zusammenhängt bezweifle ich aber.

Zitat:

Ich habe mir leider die Trojaner nicht aufgeschrieben die ich gelöscht habe.

Die meisten Programme legen Logdateien an

Hast du den von mir geposteten Link schon mal angeschaut? Ergebnis(los)?

Erstmal vielen Dank für Deine Bemühungen.
Statbar ist eine Status Anzeige über aktuelle Systemleistungen wie CPU Auslastung oder Speicherauslastung. Das Prog habe ich schon seit Jahren in Gebrauch und hat noch nie Probs gemacht.

Den Link habe ich gelesen und auch versucht die Einstellungen manuell zu löschen. Ich vermute aber ich habe einen CoolWebSearch/DOMPeek.
Jedenfalls sind es die gleichen Symtome. Doch ich weiß jetzt leider nicht genau wie ich den wieder weg bekomme.

Hast du mal geprüft ob die Dateien/Registry-Einträge vorhanden sind?
Ein Programm, das sich bei CWS-Infektionen das ein oder andere Mal schon bewährt hat -> http://www.trojaner-board.de/showthread.php?t=8612
Aber ob es sich wirklich darum handelt, weiß ich nicht und wie oben schon erwähnt: Online-Banking solltest du zu deiner Sicherheit nur dann wieder machen, wenn du das System komplett neu aufgesetzt und abgesichert hast.

Den Shredder habe ich ausgeführt. Er hat aber auch nichts mehr gefunden.
Die genannten Einträge habe ich in der Registry nicht finden können. Ich komme allerdings nicht so recht mit der automatischen entfernung von dem DOMPeek klar.

Zitat:

Zitat von Ellwood

Ich komme allerdings nicht so recht mit der automatischen entfernung von dem DOMPeek klar.

Wieso bist du dir so sicher, dass es gerade diese Variante ist?

Manuelle Entfernung:

Zitat:

DOMPeek variant

Open the Task Manager (press ctrl-alt-delete). On the ‘Processes’ list, select ‘MSMSGSVC.exe’ and click ‘End process’.

Next, open a command prompt window (from Start->Programs->Accessories; called DOS Prompt under Windows 95/98/Me) and enter the following commands:

cd "%WinDir%\System"
regsvr32 /u "..\dpe.dll"

Restart the computer and you should be able to delete the dpe.dll and msmsgsui.exe files in the Windows folder, along with MSMSGSVC.exe in the System folder (inside the Windows folder, called System32 in Windows NT/2000/XP/2003).

Quelle: http://www.doxdesk.com/parasite/CoolWebSearch.html

Was verstehst du denn nicht?

Wenn ich den Eintrag regsvr32 /u "..\dpe.dll" vornehme kommt die Fehlermeldung: Es wurde kein DLL Name angegeben