Hallo alle miteinander,
ich habe seit kurzem ein Problem auf meinem Rechner:

Ich besitze die Programme Ad-Aware, Spybot und auch Kaspersky und es werden bei mir keine Viren angezeigt.

Leider bekomme ich beim Schließen von Fenstern oft die Meldung:

In dem Skript auf dieser Seite ist ein Fehler aufgetreten
Zeile: 36
Zeichen: 1
Fehler: objekt erwartet
Code: 0
URL: http://www.richfind.com/news.php


Daraufhin habe ich HijackThis über den PC laufen lassen und habe folgende log erhalten:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Creative\Surround Mixer\CTSysVol.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
c:\programme\internet explorer\iexplore.exe
D:\Eigene Dateien\Tools\hijackthis1982\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.t-online.de/ZDFheute
R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEHelper - {726efd57-bb9a-4414-87a7-507552bcd614} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\tbu25\win32.dll
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093088307078
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3694FD-64AC-4CB3-89E8-75AB14E89742}: NameServer = 217.237.150.33
O20 - AppInit_DLLs: PAVWAIT.DLL

Ich bin auf dem Gebiet von Viren oder Hijackerbekämpfung kein Experte und wäre sehr dankbar, wenn sich ein Experte meiner log-file annehmen könnte.
Schon einmal im vorraus vielen Dank!
MfG
Honk

Habe es schon eben selber gefixt.
Das Board ist cool und ich empfehle jedem die automatische HijackThis Site:

http://www.hijackthis.de/index.php

Greetz

Hallo alle miteinander,
ich werde hiermit noch einmal näher auf die Lösung meines Problems eingehen, da die von mir beschriebene "Lösung" etwas "kurz" geriet.

Ich habe meine HijackThis Logfile gespeichert und den Inhalt der Logfile Auf der Seite:

HTML-Code:

http://www.hijackthis.de/index.php

gepostet. Dies ist eine Seite, die Logfiles von HijackThis automatisch auswertet.


Daraufhin fixte ich die Einträge:

R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\C
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab

mit HijackThis.

Seitdem habe ich keinerlei Probleme mehr!

Meine Logfile sieht jetzt so aus:

Logfile of HijackThis v1.98.2
Gut Zeigt die Version von HijackThis an. Neuste Version: v1.98.2! Ihre Version sollte aktuell sein. (v1.98.2 )
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Gut Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2800.1106! Ihre Version sollte aktuell sein. (6.00.2900.2180)
C:\WINDOWS\System32\smss.exe
Gut Laufender Prozess. (smss.exe)
Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.
C:\WINDOWS\SYSTEM32\winlogon.exe
Gut Laufender Prozess. (winlogon.exe)
Systemprozess - Windows Login Routine
C:\WINDOWS\system32\services.exe
Gut Laufender Prozess. (services.exe)
Systemprozess - Verwaltet die Systemdienste.
C:\WINDOWS\system32\lsass.exe
Gut Laufender Prozess. (lsass.exe)
Systemprozess
C:\WINDOWS\System32\Ati2evxx.exe
Gut Laufender Prozess. (Ati2evxx.exe)

C:\WINDOWS\system32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\WINDOWS\System32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\WINDOWS\system32\spoolsv.exe
Gut Laufender Prozess. (spoolsv.exe)
Systemprozess
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
Gut Laufender Prozess. (Ati2evxx.exe)

C:\WINDOWS\Explorer.EXE
Gut Laufender Prozess. (Explorer.EXE)
Systemprozess für Desktop und Taskleiste.
C:\Programme\AVPersonal\AVGUARD.EXE
Gut Laufender Prozess. (AVGUARD.EXE)
Part of AntiVir
C:\Programme\AVPersonal\AVWUPSRV.EXE
Gut Laufender Prozess. (AVWUPSRV.EXE)
Part of AntiVir
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
Gut Laufender Prozess. (ATIPTAXX.EXE)

C:\Programme\Logitech\iTouch\iTouch.exe
Gut Laufender Prozess. (iTouch.exe)

C:\Programme\Creative\Surround Mixer\CTSysVol.exe
Gut Laufender Prozess. (CTSysVol.exe)
Prozess zur Creative Soundkarte.
C:\Programme\AVPersonal\AVGNT.EXE
Gut Laufender Prozess. (AVGNT.EXE)

C:\Programme\WinTV\Ir.exe
Gut Laufender Prozess. (Ir.exe)

C:\WINDOWS\System32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\Programme\eMule\emule.exe
Gut Laufender Prozess. (emule.exe)

C:\Programme\Outlook Express\msimn.exe
Gut Laufender Prozess. (msimn.exe)

C:\Programme\Internet Explorer\iexplore.exe
Gut Laufender Prozess. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\Programme\Internet Explorer\iexplore.exe
Gut Laufender Prozess. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
D:\Eigene Dateien\Tools\hijackthis1982\HijackThis.exe
Gut Laufender Prozess. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben. Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden!
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.t-online.de/ZDFheu
Gut Diese Seite wurde als Gut identifiziert!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft. Trefferquote: 100,00 %
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([53707962-6F74-2D53-2644-206D7942484F] - Treffer: 53707962-6F74-2D53-2644-206D7942484F) wurde überprüft. Trefferquote: 100,00 %
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
Gut Zum eingegebenen Programm AtiPTA haben wir folgendes Programm gefunden: AtiPTA. Trefferquote: 58,33 % (Resultate)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
Gut Zum eingegebenen Programm zBrowser Launcher haben wir folgendes Programm gefunden: zBrowser Launcher. Trefferquote: 79,41 % (Resultate)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
Gut Zum eingegebenen Programm CTSysVol haben wir folgendes Programm gefunden: CTsysVol. Trefferquote: 74,52 % (Resultate)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
Gut Zum eingegebenen Programm AVGCtrl haben wir folgendes Programm gefunden: AVGCtrl. Trefferquote: 86,36 % (Resultate)
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
Gut Zum eingegebenen Programm LiveMonitor haben wir folgendes Programm gefunden: LiveMonitor. Trefferquote: 96,15 % (Resultate) Nicht gefährlich aber unnötig.
O4 - HKLM\..\RunOnce: [MSIWU_0] "C:\PROGRA~1\MSI\LIVEUP~1\MSIWUPro.exe" -DEL:[C:\PROGRAMME\SETUP FIL
Unbekannt Zum eingegebenen Programm MSIWU_0 haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
Gut Zum eingegebenen Programm 'AutoStart IR.lnk (Ir.exe)' haben wir folgendes Programm gefunden: 'HP JetSpeed Autostart (AUTOSTART.EXE )'. Trefferquote: 26,38 % (Resultate) Nicht gefährlich aber unnötig.
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
Gut Zum eingegebenen Programm 'CoreCenter.lnk (CoreCenter.exe)' haben wir folgendes Programm gefunden: 'CoreCenter (CoreCenter.exe)'. Trefferquote: 91,67 % (Resultate)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office1
Gut Der Eintrag Nach Microsoft &Excel exportieren wurde als Gut erkannt. Wenn der Eintrag 'Nach Microsoft &Excel exportieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemei
Gut Der Eintrag Recherche wurde als Gut erkannt. Wenn der Eintrag 'Recherche' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creati
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pest
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.mic
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasof
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3694FD-64AC-4CB3-89E8-75AB14E89742}: NameServer = 217.237
Gut Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Die Eingegebene IP oder Domäne '217.237.150.33 ' wurde als gut identifiziert.
O20 - AppInit_DLLs: PAVWAIT.DLL
Unbekannt

Ich hoffe, dass meine Antwort Personen, die mit ähnlichen Problemen kämpfen geholfen hat.
Ich empfehle die Programme:
Ad-Aware SE Personal & Spybot Search and Destroy

MfG
Honk

DANKE, HONK, jetzt bin ich ihn auch los! Weiterhin viel Spaß im WWW (ohne Ärger)

Grüsse

Alex

Kein Problem. Gern geschehen. Ärgerlich, solche Sachen ^^!
Have a nice Day!

Hi@all,

Hab mich jetzt mal bei euch neu angemeldet, da ich dieses "Richfind" Prob auch habe und leider nicht loswerde. Hab es mit HijackThis versucht und die entsprechenden prozesse gefixt. Anfänglich klappte es auch, doch sobald ich den 'hijackthis ordner' verlassen habe, is das problem wieder da. Und wenn ich erneut scanne, sind die alten prozesse wieder da und das ganze spielchen wiederholt sich. Is vermutlich auch nur ein Anwendungsfehler , nutze dieses Prog zum ersten mal!

Danke schon im vorraus

Gruß FreshPrince

Es dürfte daran liegen, dass du die Systemwiederherstellung vor dem Fixen nicht deaktiviert hast. Poste bitte erstmal das Log, bevor du etwas fixst, die automatische Erkennung ist nicht 100%ig zuverlässig.

Danke für die schnelle Antwort
So hier mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 12:30:35, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sven Jakobs\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {F68E561A-28E9-4136-952D-FB1107091C26} - C:\WINDOWS\System32\Q24778500.dll
O2 - BHO: Richfind - {2A554F9F-055E-4195-B46B-18668166BE66} - C:\WINDOWS\System32\Q24778500.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O9 - Extra button: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O18 - Filter: text/html - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/plain - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll

Hallo,
@ FreshPrince

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus und fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {F68E561A-28E9-4136-952D-FB1107091C26} - C:\WINDOWS\System32\Q24778500.dll
O2 - BHO: Richfind - {2A554F9F-055E-4195-B46B-18668166BE66} - C:\WINDOWS\System32\Q24778500.dll
O9 - Extra button: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/html - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/plain - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll

Lösche diese Datei:
C:\WINDOWS\System32\Q24778500.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Ich hab auch das selbe problem mit richfind.Ich weiß nicht was ich fixen soll,kenn mich mit solchen sachen nicht aus.Helft mir bitte.Hier ist meine log



Logfile of HijackThis v1.98.2
Scan saved at 08:10:08, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Edikx\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://google.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...0&plcid=0x0407
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
R3 - URLSearchHook: Richfind - {864FD6F9-E4A9-436B-90A0-F6FB00AF1743} - C:\WINDOWS\system32\Q539874828.dll
R3 - URLSearchHook: Richfind - {C68E1FA6-5D0D-4F2B-B4CD-AE6279753246} - C:\WINDOWS\system32\Q539874828.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Richfind - {78B8A457-13DC-40C3-9F3D-D5AE577F6D35} - C:\WINDOWS\system32\Q539874828.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem300.dll
O2 - BHO: Richfind - {AE832902-CE8B-47A1-935A-75470B55441F} - C:\WINDOWS\system32\Q539874828.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll (file missing)
O3 - Toolbar: Richfind - {D0C20F8B-F2FB-42CD-9C92-BD48BFF38403} - C:\WINDOWS\system32\Q539874828.dll
O3 - Toolbar: Richfind - {247C73C9-900D-45F7-B3CF-97F0EF038EF1} - C:\WINDOWS\system32\Q539874828.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Richfind - {247C73C9-900D-45F7-B3CF-97F0EF038EF1} - C:\WINDOWS\system32\Q539874828.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Richfind - {D0C20F8B-F2FB-42CD-9C92-BD48BFF38403} - C:\WINDOWS\system32\Q539874828.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/038cd80f...dxIE601_de.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter...0/SYSsfitb.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/mmed.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O18 - Filter: text/html - {3AC1B433-B632-4A1E-9D13-59F2C5C71A28} - C:\WINDOWS\system32\Q539874828.dll
O18 - Filter: text/plain - {3AC1B433-B632-4A1E-9D13-59F2C5C71A28} - C:\WINDOWS\system32\Q539874828.dll

@ Edikx

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus - laut Anleitungt - aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD