Hallo cc66 und willkommen an Board,

hast Du diese beiden Seiten selbst eingegeben:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jippii.de/jspde/games/index.jsp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.rpxwayvqwhfvmtcrsaffsrxh...m6AfYrXPROX.htm

so nicht, bitte fixen.

bitte fixen:

R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL

Kennst Du dieses Programm:

F1 - win.ini: run=C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE

so nicht, bitte fixen.

bitte fixen:

O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll

O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\xefajo.dll
O2 - BHO: (no name) - {4399242A-D9B8-4AED-9588-EBEEF53475A7} - C:\WINDOWS\System32\ealareq.dll
O2 - BHO: (no name) - {632279D5-A3A5-471F-BE06-E3178F267062} - (no file)
O2 - BHO: (no name) - {6DDF3E78-B265-52B6-DB26-12557BD17B36} - C:\WINDOWS\System32\syd.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: (no name) - {E7116BF0-67F2-269D-9C2D-093BF9771375} - C:\PROGRA~1\MPEGHO~1\MapiBuild.exe

O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int4434.exe -auto

O4 - HKLM\..\Run: [bjgxtzp] C:\WINDOWS\dxcnzeey.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [System Toolkit] C:\My Shared Folder\Street Fighter Alpha 3 (E).exe
O4 - HKLM\..\Run: [tjxrkgu] C:\WINDOWS\efwbb.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [hqlmmadsh] C:\WINDOWS\System32\yzbwoxo.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MoreFour] C:\PROGRA~1\ShimBore\SITE DEAD.exe
O4 - HKLM\..\Run: [msbb] c:\dokume~1\pppi28~1\lokale~1\temp\msbb.exe
O4 - HKLM\..\Run: [poke peak style delete] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long Joy Poke Peak\Thunk Wma.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [pnikes] C:\WINDOWS\System32\pnikes.exe
O4 - HKLM\..\Run: [_855c] C:\WINDOWS\System32\_855c.exe
O4 - HKLM\..\Run: [0281] C:\WINDOWS\System32\0281.exe
O4 - HKLM\..\Run: [honmdid] C:\WINDOWS\honmdid.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\püppi 28\Anwendungsdaten\oroe.exe

O4 - HKCU\..\Run: [Mijyo] C:\WINDOWS\System32\nhpg.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\RunOnce: [eZstub] C:\WINDOWS\iLookup\TTIL.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Erotik - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1831004 (file missing)
O9 - Extra 'Tools' menuitem: Erotik... - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1831004 (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binari..._1015_EN_XP.cab
O16 - DPF: {10000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...39126/turbo.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/Cabs/1831001.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...dc9d efbb7eddc
O16 - DPF: {197AB1D7-A7DD-4C86-A938-1FCC0DB21B85} (DMProxyCtl Class) - http://dm.cometsystems.com/dm/dm_286.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/f...etup1.0.0.8.cab

O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...T64106/thin.cab
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binari...thv32_EN_XP.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/20...TInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/roing.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab


..... mal sehen, was meine Kollegen Logfile-Auswertungs-Spezialisten dazu sagen. Es kann sein, dass ich noch etwas übersehen habe.


@ cc66, sei bitte so nett und lade Dir eScan runter, entsprechend der Anweisung, die in diesem Thread gegeben wird: http://www.trojaner-board.de/showthread.php?t=6083
Update eScan online und führe den Scan Deiner Festplatte offline im abgesicherten Modus durch.

Du solltest über einen Browserwechsel nachdenken: schau mal in meiner Signatur unter TI Hijacker-Rubrik ----> Vorbeugung nach.

Bitte poste ein weiteres Logfile, wenn der eScan beendet ist und lass uns bitte wissen, welche Dateien durch eScan gelöscht und umbenannt worden sind. Der eScan dauert einige Zeit.

Bis nachher,
SD

Hallo cc66,

ich schließe mich Lucky's Meinung an ...
Es wäre das Beste, wenn Du Deinen Computer formatierst und Dein System neu aufsetzt ...

*schaut zu Cidre und MountainKing rüber* ... was sagt Ihr dazu?

Lieben Gruss
SD

Ganz gegen meine sonstige Gewohnheit schließe ich mich hier ausdrücklich der Mehrheitsmeinung an.

Die Dialer wären aber evtl. noch zu sichern.

Hallo,

erstmal vielen Dank für die Hilfe!
Aber was heisst neu formatieren und Windows neu "aufsetzen" ?
Und welche Dialer sichern ?

Gruß
christa

Hallo

Zitat:

Aber was heisst neu formatieren und Windows neu "aufsetzen" ?

Dein System ist mit verschiedenen Arten der Malware stark kompromittiert. D.h. im Endeffekt, dass dein Computer nicht mehr dein ist , er ist höchstwahrscheinlich gehackt und kann als ein Bösewicht im Internet verwendet werden. Die einzige sichere Lösung in dem Fall - Neuinstallation des Betriebssystems. Du musst die wichtigen Daten (Word, Exel-Dokumente, wichtige e-mails) auf einer Diskette od.CD sichern. Danach musst du die Boot-CD, die du mit deinem PC zusammen bekommen hast, in CD-ROm Laufwerk einlegen, PC neu starten, Option "von CD-Starten" wählen, danach " Windows Neu Installieren" ggf. mit dem "Neu formatieren" (Diese Option ist nicht auf allen Boot-CDs vorhanden). Weiter nur die Anweisungen folgen. Kaufe für dich die letzte Ausgabe von ComuterBild mit SP2 - CD. Den musst du installieren, bevor du inst Netz gehst.
Danach installierst du alle Anwendungen, ein Anitivirus-Programm, verwendest einen Browser aus Mozilla-Family oder Opera, verwendest beim Sufen Brain 1.5 und hast in der Zukunft keine Probleme mit Hijacker und Trojaner.
Weitere Infos: http://faq.underflow.de/

Zitat:

Und welche Dialer sichern ?

Wenn ein Dialer die Verbindung zur einen 0190 oder 0900 Rufnummerhergestellt hat, kommen auf dich die enorm höhe Telefongebühren zu. Widerspruch beim Gericht würde gelten, wenn du beweisen könntest, dass diese Nummer mit Dialer, die an deinen PC geegn deinen Willen eingeschleust wurden, gewählt wurde. Info: http://www.dialerschutz.de/