Hallo,
nach mehrfachen Versuchen habe ich lästige Trojaner von meinem PC eliminiert.Trotz aktueller Virensoftware (MacAfee) werden diese Trojaner nicht erkannt. Aktuelles Betriebssystem ist W2K mit Servicepack 4, Browser ist der IExplorer 5.5

Merkmale und Auswirkungen:

1. unter Systemsteuerung-->Software stehen drei Programme, die sich nicht entfernen lassen:
- Home Search Assistent
- Shopping Wizard
- Search Extender

2. Die aktuelle Startseite und Standardseite im Internet-Explorer werden auf z.B. res://...dll/... umbenannt und sind auch nicht zu ändern.
Löscht man die betreffenden Registry-Einträge, sind sie kurz darauf wieder da:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049

3. Immer wieder erscheinen neue Pop-Up-Fenster mit Werbung, häufige Titelzeile: only the best

4. geöffnete Texteditor-Fenster (notepad.exe) werden minütlich geschlossen.

5. die Datei hosts im Ordner C:\WINNT\system32\drivers\etc wird minütlich gelöscht.

6. Unter Systemsteuerung-->Verwaltung-->Dienste gibt es einen Dienst namens Network Security Service oder Netzwerk Sicherheitsdienst. Unter "Eigenschaften" steht die entsprechende Datei, z.B. c:\winnt\netsm32.exe
Nach dem Beenden und Deaktivieren des Dienstes ist dieser trotzdem kurz darauf wieder gestartet.

Behebung des Problems:

1. den ominösen Dienst (Network Security Service) beenden, deaktivieren und die entsprechende exe-Datei unter C:\ WINNT löschen (oder zumindest umbenennen).

2. alle Dateien im Ordner C:\WINNT (ohne Unterverzeichnisse) und C:\WINNT\system32, die 9, 26, 32, 69 oder 89 KB groß sind und die Endung .exe, .dat oder .dll haben, zusammenpacken, z.B. mit winzip.
Da die zip-Datei max 1 MB groß sein darf, evtl. mehrere erzeugen. Diese zip-Archive können jetzt online unter http://www.kaspersky.com/de/scanforvirus
geprüft werden. Bei mir ergab diese Prüfung einen Befall von 32 (!) Dateien. Hauptsächlich wurde der Trojaner Win32.Agent.an gefunden, teilweise auch Win32.Agent.aq und Win32.Winshow.u. Auffällig viele Dateien entsprechen dem Muster <5 Buchstaben>.exe bzw. <5 Buchstaben>32.exe und sind überwiegend 9 und 26 KB groß. Die infizierten Dateien sollten gelöscht (oder zumindest umbenannt, z.B. mit der Endung .back, und dann verschoben werden).

trojaner.zip Archive: ZIP
trojaner.zip/netef32.exe - packed with UPX
trojaner.zip/netef32.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/atlii.exe - packed with UPX
trojaner.zip/mfcqc.exe Infiziert: TrojanDownloader.Win32.Agent.an
trojaner.zip/javaiy32.dll Infiziert: TrojanDownloader.Win32.WinShow.ag
~9299.16177/cuagb.dll.b/data0001.html Infiziert: TrojanDownloader.Win32.Winshow.u

3. Anschließend sollte die registry bereinigt werden. Nützlich ist dafür HijackThis.

Hier ein Auszug aus meinem HijackThis-Log. Verdächtige Einträge sind rot markiert.
----------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 12:12:59, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\apidc.exe
C:\WINNT\mfcqc.exe
C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yrvgw.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yrvgw.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yrvgw.dll/sp.html#37049
O2 - BHO: (no name) - {21EAC97B-F474-7E96-0FC5-B2880E463177} - C:\WINNT\system32\sysmd.dll
O4 - HKLM\..\Run: [apidc.exe] C:\WINNT\apidc.exe
O4 - HKLM\..\RunOnce: [mfcqc.exe] C:\WINNT\mfcqc.exe
O4 - HKLM\..\RunOnce: [atlii.exe] C:\WINNT\atlii.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http ://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-------------------------------------------------------------

4. Die Software-Einträge unter Systemsteuerung-->Software lassen sich nun z.B. mit Advanced Uninstaller Pro Vers 6 entfernen (Option forced).

5. Ein nun zu empfehlendes Scannen der Festplatten mit den Progammen Spybot-Search &Destroy 1.3 und Ad-Aware 6 Personal deckt noch evtl. weitere infizierte Dateien und Einträge auf, die auch mit diesen Programmen entfernt werden können.

6. Abschließend den Browser nochmal aufrufen und Startseite kontrollieren. Weiterhin notepad starten und warten, ob es nicht mehr automatisch geschlossen wird.

Jetzt ist wieder alles ok!

Viel Erfolg!
Oli-

Danke für die Mühe, die du dir gemacht hast.

Hallo Oli,

Super Einstiegs-Posting !

Für XP-User sei noch angemerkt, dass der Standard-Pfad anstatt C:\WINNT\system32 -> C:\Windows\system32 lautet. Ansonsten ist die Vorgehensweise identisch.

Hallo,

habe genau dieses Problem, habe es auch genau auf diese Weise fixen wollen.
ABER - Ich finde diesen ominösen Prozess nicht und denke das es daran liegt.
Immer wenn ich alles gelöscht und gefixt habe (so wie beschrieben im abgesicherten Modus) kommt es nach dem Neustart sofort wieder zu einer Infektion! Ich öffne den IE und das Teil wird sofort wieder nachgeladen und die drei Programme sind wieder in der Softwareumgebung, obwohl eScan und Highjakthis vorher gesagt haben alles ist sauber!

Jemand noch ne Idee ??

WinXP Prof (alle Updates und Servicepacks) und aktuelller IE

Danke bis denne
Smiraculix

Hi zusammen
ich habe mal mein pc gescannt mit HijackThis aber ich bin noch son richtiger anfänger. ich wollte mal fragen was ich vom scan löschen kann.
hier schreib ich mal mein log:

Logfile of HijackThis v1.98.0
Scan saved at 07:18:56, on 30.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\ANTIVIR\AVGUARD.EXE
D:\ANTIVIR\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Dokumente und Einstellungen\Jigga\Eigene Dateien\stinger.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Jigga\Eigene Dateien\HiJackThis_Last.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecu...th.srf?lc=1031
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: IEHelper - {21a285f7-b9d5-4d87-88cf-114e164c860e} - C:\WINDOWS\System32\Q102831625.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: (no name) - {C4CD0991-7C4E-49F5-ADE9-4D221869B77C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...c048e710a78631

Danke für die antworten.
Ciao Jigga

Ich denke, dass du dies fixen kannst:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsec...uth.srf?lc=1031
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: IEHelper - {21a285f7-b9d5-4d87-88cf-114e164c860e} - C:\WINDOWS\System32\Q102831625.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: (no name) - {C4CD0991-7C4E-49F5-ADE9-4D221869B77C} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...048e 710a78631

Danach die Datei C:\WINDOWS\System32\Q102831625.dll löschen!

hallo,
ich habe auch das problem mit den installierten programmen home search etc..
wenn ich nun wie oben beschrieben vorgehe und bei Network Security Service - Eigenschaften nach der entsprechenden datei suche wird diese dort zwar angegeben aber sie lässt sich auf meinem pc nicht finden.
zudem ist bei dem scan unter http://www.kaspersky.com/de/scanforvirus keine datei infiziert, bei allen steht OK außer einmal steht system32.zip/exe2bin.exe - packed with ExePack.
außerdem kenne ich mich wie Jigga in solchen dingen auch nicht besonders aus und weiß auch nicht was ich bei Hijack This fixen kann und was nicht.

LOG:
Logfile of HijackThis v1.97.7
Scan saved at 14:05:24, on 11.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\apizq32.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\explorer.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\mfcmx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Michael Münch\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AF80DA50-F550-DE46-10B3-C8F6CC729CB7} - C:\WINDOWS\javajn32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [apizq32.exe] C:\WINDOWS\apizq32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\RunOnce: [mfcmx.exe] C:\WINDOWS\mfcmx.exe
O4 - HKLM\..\RunOnce: [eixsl] C:\WINDOWS\earnmoney.ico:eixsl
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {359F7E49-1EA0-4671-92E9-61E32FE25C5E} - http://69.0.137.190/version3/Netster.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - file://C:\IberoDialerHTML.cab
O16 - DPF: {788A7678-38D7-4EEC-9D20-67A86D21A7FD} (Webupdate Control) - http://213.131.225.4/esel2/webupdate.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...714.1112037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/internet-...istIOcrack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5EB4836-839A-4DFC-8934-E036FBED2F82}: NameServer = 205.188.146.146

Wäre echt dankbar wenn mir jemand weiterhelfen könnte.

Lass mal eScan im abgesicherten Modus drüberlaufen: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues Log mit der aktuellen Version von HijackThis.

Dies kannst du schonmal fixen:
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/internet...DistIOcrack.CAB
TrojanDownloader!

hab escan im abgesicherten modus laufen lassen. hat 49 dateien gefunden und 43 gelöscht.

hier ist nun der neue log:


ogfile of HijackThis v1.98.2
Scan saved at 16:22:27, on 11.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\apizq32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\earnmoney.ico:eixsl
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Michael Münch\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [apizq32.exe] C:\WINDOWS\apizq32.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\MICHAE~1\LOK

Zunächst diese Datei C:\WINDOWS\apizq32.exe an partytime-germany.ice@web.de schicken!
Es müsste sich um unbekannte Malware handeln.

Danach dies fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\wctjp.dll/index.html#26512
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wctjp.dll/sp.html#26512
R3 - Default URLSearchHook is missing

Bitte vergess nicht die Datei an die oben genannte Adresse mit Angabe dieses Thread (Link) zu schicken.

Bitte unbedingt www.windowsupdate.com besuchen und alle Patches und Updates installieren.

Schutz vor soetwas: www.firefox-browser.de ist schnell, sicher und kostenlos.

Hallo,

wir haben uns heute auch den "home search"- Hijack iengefangen...nun leider haben wir alles versucht: die neuen MS-Updates gezogen, escan drüber laufen lassen und mehrmals mit HijackThis.exe gescannt...leider kommt das immer wieder. Kann uns einer helfen??
Hier der Ausschnitt aus HijackThis:


Danke Bianca



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\COMPAQ\ACLIENT\ACLIENT.exe
C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\PROGRA~1\Compaq\COMPAQ~2\CPQWEB~1\WebDmi.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\system32\hfp.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\ipcj32.exe
C:\Programme\Compaq\LCRMS\LCRMS.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\PROGRA~1\Compaq\COMPAQ~2\cpqdmi.exe
C:\WINDOWS\PFCTOC.DLLfeie
C:\Dokumente und Einstellungen\Timo Lindenberger\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ebnxu.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {DE10C0C2-6E08-CABB-135A-E38BB36A3958} - C:\WINDOWS\system32\apixg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ipcj32.exe] C:\WINDOWS\ipcj32.exe
O4 - HKLM\..\RunOnce: [ofeie] C:\WINDOWS\PFCTOC.DLLfeie
O4 - HKLM\..\RunOnce: [pwytf] C:\WINDOWS\msxmidi.exewytf
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &MST Search - res://C:\PROGRA~1\DHTOOL~1\DHBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Dokumente und Einstellungen\Timo Lindenberger\Lokale Einstellungen\Temp\~DlfnTmp0\imgSizer.ocx

Hi, ich habe das selbe Problem.

Ich habe jetzt die ersten Schritte gemacht und mit Kaspersky´s anti-virus gescannt und alle gelöscht.

jetzt hab ich auch mal mit HiJack gescannt, aber keine Ahnung was ich da löschen muss.
Hoffe ihr könnt mir helfen

Logfile of HijackThis v1.97.7
Scan saved at 15:34:54, on 02.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Babylon\Babylon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\802.11 Wireless LAN\802.11b Wireless USB Adapter HW.00 V1.11\Wireless Configuration Utility HW.00.exe
C:\Dokumente und Einstellungen\Louis.LOU\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gyevf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gyevf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gyevf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gyevf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gyevf.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gyevf.dll/sp.html#29126
O2 - BHO: (no name) - {92A72092-878E-DBA3-15F0-ADF6FD6C738B} - C:\WINDOWS\appxs32.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [syslj32.exe] C:\WINDOWS\system32\syslj32.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Wireless Configuration Utility HW.00.lnk = ?
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099403519608
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6DA9743-712F-4EDA-B018-EEA3ACCB01A2}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B962FFAE-1D94-4B16-9E7C-21164C590A53}: NameServer = 192.168.1.1

Ich bin wirklich ein Anfänger und habe nun auch diesen Trojaner mit Shopping Wizard; ich habe nicht alles verstanden. Hoffe auf kurze Antwort.

1. was ist ein Trojaner?
2. unter Systemsteuerung habe ich kein -Verwaltung-Dienste! Windows ME!
3. wie kriege ich WINZIP?
4. was sind das für Datenlisten oder Logs wie zu Hijack This?

Hallo theo22,

Zitat:

Zitat von theo22

1. was ist ein Trojaner?
2. unter Systemsteuerung habe ich kein -Verwaltung-Dienste! Windows ME!
3. wie kriege ich WINZIP?
4. was sind das für Datenlisten oder Logs wie zu Hijack This?

zu 1) Definition 'Trojaner'
zu 2) da ich Windows ME nicht kenne, weiss ich nicht, ob es Verwaltungsdienste hat
zu 3) WINZIP kannst Du hier downloaden
zu 4) Hijack This kannst Du hier downloaden: http://www.trojaner-board.de/51130-a...ijackthis.html

und damit dann ein Logfile erstellen und hier ins Forum posten.

SD

Zitat:

Zitat von Shadowdance

Hallo theo22,




und damit dann ein Logfile erstellen und hier ins Forum posten.

SD

Da haben wir es. Woran erkennt man die Fehler?

Logfile of HijackThis v1.98.2
Scan saved at 20:39:52, on 06.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\WINDOWS\SYSTEM\WINPH.EXE
C:\WINDOWS\SYSSX32.EXE
C:\WINDOWS\SYSTEM\IEWG32.EXE
C:\WINDOWS\SYSTEM\JAVASS32.EXE
C:\WINDOWS\SYSTEM\NTES32.EXE
C:\WINDOWS\IPHL32.EXE
C:\WINDOWS\SYSTEM\NETFM.EXE
C:\WINDOWS\SYSTEM\ADDSI32.EXE
C:\WINDOWS\SYSTEM\MSJF.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\QLETAR.EXE
C:\WINDOWS\SYSLO32.EXE
C:\WINDOWS\ANWENDUNGSDATEN\ORAT.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\NTES32.EXE
C:\WINDOWS\SYSTEM\MSJF.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\MY-PLAYLIST\MY-PLAYLIST.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\CIMOBVWJ.EXE
C:\PROGRAMME\SAMSUNG\MAGICKEYBOARD\MAGICKBD.EXE
C:\PROGRAMME\NETGEAR\MA101 USB ADAPTER CONFIGURATION UTILITY\WLANMONITOR.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\VPNGUI.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL = http://www.searchmeup.com/?aid=11195
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaniacs.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmaniacs.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaniacs.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searchmaniacs.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaniacs.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmaniacs.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaniacs.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaniacs.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.searchmaniacs.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaniacs.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaniacs.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaniacs.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaniacs.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=enc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=enc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL
O2 - BHO: (no name) - {18BA8B04-3929-2375-FF9C-E0E4EA91BACA} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [UStorage] c:\programme\u-storage tools2.1\ustorage.exe sys_auto_run C:\PROGRAMME\U-STORAGE TOOLS2.1
O4 - HKLM\..\Run: [isvcshed] C:\WINDOWS\system32\isvcshed.hta
O4 - HKLM\..\Run: [xxxvid] C:\WINDOWS\system32\xxxvideo.hta
O4 - HKLM\..\Run: [xapojkppwc] C:\WINDOWS\SYSTEM\qletar.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [SYSLO32.EXE] C:\WINDOWS\SYSLO32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
O4 - HKLM\..\RunServices: [WINPH.EXE] C:\WINDOWS\SYSTEM\WINPH.EXE
O4 - HKLM\..\RunServices: [JAVASS32.EXE] C:\WINDOWS\SYSTEM\JAVASS32.EXE
O4 - HKLM\..\RunServices: [SYSSX32.EXE] C:\WINDOWS\SYSSX32.EXE
O4 - HKLM\..\RunServices: [ADDSI32.EXE] C:\WINDOWS\SYSTEM\ADDSI32.EXE
O4 - HKLM\..\RunServices: [MSJF.EXE] C:\WINDOWS\SYSTEM\MSJF.EXE
O4 - HKLM\..\RunServices: [NTES32.EXE] C:\WINDOWS\SYSTEM\NTES32.EXE
O4 - HKLM\..\RunServices: [NETFM.EXE] C:\WINDOWS\SYSTEM\NETFM.EXE
O4 - HKLM\..\RunServices: [IEWG32.EXE] C:\WINDOWS\SYSTEM\IEWG32.EXE
O4 - HKLM\..\RunServices: [IPHL32.EXE] C:\WINDOWS\IPHL32.EXE
O4 - HKCU\..\Run: [isvcshed] C:\Eigene Dateien\isvcshed.hta
O4 - HKCU\..\Run: [xxxvid] C:\Eigene Dateien\xxxvideo.hta
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\Run: [Iteo] C:\WINDOWS\Anwendungsdaten\orat.exe
O4 - HKCU\..\Run: [Jhjk] C:\WINDOWS\SYSTEM\cimobvwj.exe
O4 - Startup: MagicKeyboard.lnk = C:\Programme\SAMSUNG\MagicKeyboard\MagicKBD.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: MA101 Configuration Utility .lnk = C:\Programme\NETGEAR\MA101 USB Adapter Configuration Utility\WlanMonitor.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .de/archiv/form_studium/form_studium_20030303_102315/20040428_112516/index_html: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://c.coolshader.com/download/dialer/eu_cax.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//pfred01/mai...estnewload.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/...LER_loader.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/98ME/CDTInc/bridge.cab
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = uni-bielefeld.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.70.182.8,129.70.182.24
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL