Home Search, Only the best belästigt mich

HajaaHajoo · 20.10.2004, 09:57

Guten Morgen
2 Dateien habe ich gefunden und gelöscht. 2 Dateien habe ich nicht gefunden
C:\Windows\system32\gjift.dll/sp.html
C:\Windows\system32\sdkar.exe

-Mit den Windows Updates hatte ich schwierigkeiten.
-Service Pack2 CD ist bestellt, Download wäre 4 Std.
-XP-Update Downlods konnte ich downloaden aber nicht installieren?
-IE ist sicherer konfiguriert
-Ab heute bin ich Firefox Benutzer, Jeaaa!

Hier mein neues Logfile und die Log Information von eScan.
Bin ich nun sauber?

Logfile of HijackThis v1.98.2
Scan saved at 10:38:26, on 20.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MindManager PDF Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=www.tele2internet.ch
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908928238
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95659727-79E3-4F9F-8475-12754EA1E988}: NameServer = 130.244.127.161 130.244.127.169

HajaaHajoo · 20.10.2004, 09:59

Und hier noch aus Platzgründen in einer 2-ten Antwort die Log Information von eScan

File C:\WINDOWS\addox32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\apiwl32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\apiwo32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\appmy.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\atlqn.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\chcnm.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.
File C:\WINDOWS\d3ly32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\iedw32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\ieim32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\javabw32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
File C:\WINDOWS\mfcov.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\mfcvi.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\mfcvn.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\mshu32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\msmc32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\ntbd.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\ntoh.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\winel.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\winlx32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\addfp32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\addjt.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\atlqu32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\atlya32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\crbr32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\d3dy.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\gjift.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\iefy32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\javalx32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\javamw32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\javaya32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\mfcfs32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\netec32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\netxn.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\noagf.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\ntwf.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\rqtpv.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\sieel.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\backups\backup-20041019-093810-646.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\backups\backup-20041019-213853-815.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\1F485CEB infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\24F80A60 infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\24FB345D infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-3506287757-2913260075-2982561959-1006\Dc1.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-3506287757-2913260075-2982561959-1006\Dc2.bak infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted.

HajaaHajoo · 20.10.2004, 19:50

Erst mal vielen Dank für eure Hilfe speziel möchte ich Cidre Danken.
Kannst du dir vielleicht nochmal meine beiden letzten logs HijackThis und e-Scan anschauen?

Shadowdance · 21.10.2004, 02:04

Hallo HajaaHajoo,

Dein letztes Logfile ist sauber und die Viren sind durch den eScan gelöscht. Also, alles ok.

Die beiden unauffindbaren Dateien, könntest Du vielleicht auf diese Weise finden: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren."

Viel Erfolg weiterhin,
SD

Wattewuschel · 21.10.2004, 02:10

Falls das nicht geht (ich hatte jetzt mal ein problem mit einer unsichtbaren datei, auch ordneroptionen - alle dateien anzeigen half nix), probiere mal das:

Hier gibts Links zu den Online-Virenscans vieler Softwarehersteller - mit dem Onlinescan von Bitdefender hab ich die Datei gefunden. Kannst es ja mal probieren, wenn Bitdefender es nicht finden sollte, probier noch andere Hersteller.

somaspa · 21.10.2004, 14:56

Hallo, auch habe dieses Problem. Kann sich wohl mal jemand mein Log ansehen?
Logfile of HijackThis v1.97.7
Scan saved at 15:47:23, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS1\System32\smss.exe
E:\WINDOWS1\system32\winlogon.exe
E:\WINDOWS1\system32\services.exe
E:\WINDOWS1\system32\lsass.exe
E:\WINDOWS1\system32\svchost.exe
E:\WINDOWS1\System32\svchost.exe
E:\WINDOWS1\Explorer.EXE
E:\WINDOWS1\system32\spoolsv.exe
E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
E:\WINDOWS1\system32\appsp.exe
E:\Program Files\Win Comm\WinComm.exe
E:\Program Files\Win Comm\WinLock.exe
E:\WINDOWS1\System32\hmuukm.exe
E:\Programme\ISTsvc\istsvc.exe
E:\WINDOWS1\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\WINDOWS1\System32\RUNDLL32.EXE
E:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\soea.exe
E:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
E:\DATEV\SYSTEM\PSNTSERV.EXE
E:\WINDOWS1\System32\nvsvc32.exe
E:\WINDOWS1\ntmv32.exe
E:\UPS\WorldShip\WorldShip\Wshipservicecom.exe
E:\WINDOWS1\System32\wuauclt.exe
E:\Dokumente und Einstellungen\Manfred\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijack.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\uohts.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\uohts.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS1\uohts.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS1\uohts.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CDD6CAC2-8F26-FBD5-9435-A933BA75D29E} - E:\WINDOWS1\ienn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS1\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS1\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [StatusClient] E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [appsp.exe] E:\WINDOWS1\system32\appsp.exe
O4 - HKLM\..\Run: [Win Comm] E:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [rwwagrouf] E:\WINDOWS1\System32\hmuukm.exe
O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS1\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS1\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Aseb] E:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\soea.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: EuApplet - https://www14.firmenfinanzportal.de/...n/EuApplet.cab
O16 - DPF: FFPApplet - https://www14.firmenfinanzportal.de/.../FFPApplet.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Hatte schon so einiges gefixt. Kommt aber immer wieder.

BLACKDOG · 21.10.2004, 15:21

Hi,
nachfolgende Dinge

unbedingt kontrollien, was du nicht kennst fixen

E:\WINDOWS1\system32\appsp.exe
E:\Program Files\Win Comm\WinComm.exe
E:\Program Files\Win Comm\WinLock.exe running E:\WINDOWS1\System32\hmuukm.exe
E:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\soea.exe

O2 - BHO: (no name) - {CDD6CAC2-8F26-FBD5-9435-A933BA75D29E} - E:\WINDOWS1\ienn.dll

unbedingt fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\uohts.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS1\uohts.dll/sp.html#29126

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS1\uohts.dll/sp.html#29126

O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe

Greetz
Blackdog

somaspa · 21.10.2004, 15:52

Daaaanke. Hat alles super geklappt

Shadowdance · 22.10.2004, 00:27

@ somaspa

erstelle und poste bitte ein weiteres Hijack This Logfile mit merijn/downloads, Version Logfile of HijackThis v1.98.2.

Es sind noch nicht alle Probleme behoben.

SD

somaspa · 22.10.2004, 07:26

Hallo,
ja das hab ich heute morgen gemerkt. Die Seite ist wieder da. Hier ist mein log. Auch mit den alten Einträgen wieder. Mist
Logfile of HijackThis v1.98.2
Scan saved at 08:25:33, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS1\System32\smss.exe
E:\WINDOWS1\system32\winlogon.exe
E:\WINDOWS1\system32\services.exe
E:\WINDOWS1\system32\lsass.exe
E:\WINDOWS1\system32\svchost.exe
E:\WINDOWS1\System32\svchost.exe
E:\WINDOWS1\system32\spoolsv.exe
E:\WINDOWS1\Explorer.EXE
E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
E:\WINDOWS1\system32\appsp.exe
E:\Programme\ISTsvc\istsvc.exe
E:\WINDOWS1\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\WINDOWS1\System32\RUNDLL32.EXE
E:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
E:\DATEV\SYSTEM\PSNTSERV.EXE
E:\WINDOWS1\System32\nvsvc32.exe
E:\WINDOWS1\ntmv32.exe
E:\UPS\WorldShip\WorldShip\Wshipservicecom.exe
E:\WINDOWS1\System32\wuauclt.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Dokumente und Einstellungen\Manfred\Lokale Einstellungen\Temp\Temporäres Verzeichnis 11 für hijack.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FDF9AC3B-8986-AD59-683C-5B23083ADD53} - E:\WINDOWS1\system32\addvk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS1\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS1\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [StatusClient] E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [appsp.exe] E:\WINDOWS1\system32\appsp.exe
O4 - HKLM\..\Run: [Win Comm] E:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [rwwagrouf] E:\WINDOWS1\System32\hmuukm.exe
O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS1\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS1\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS1\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS1\web\related.htm
O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: EuApplet - https://www14.firmenfinanzportal.de/...n/EuApplet.cab
O16 - DPF: FFPApplet - https://www14.firmenfinanzportal.de/.../FFPApplet.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - E:\WINDOWS1\msopt.dll

Ob mir wohl noch jemand helfen kann?

warhawk · 22.10.2004, 08:27

Du hast wohl nicht alles von CWS erwischt.

Nochmals der HINWEIS: Das CoolWWWSearch besteht normalerweise aus zwei Programmen. Einen Download-Client und einem Systemdienst. In deinem Fall hast Du wohl noch einen alten ICOO Installer erwischt, der beim herrunterladen noch zusätzlich einen aktuellen CWS Download-Client mit
herrunterlaedt und dieser infizierte Dich ..

Lies Dir bitte mal das kleine Spybot S&D Tutorial durch zum Thema Spybot 1.3 auf 1.3.1TX aktualisieren http://www.trojaner-board.de/showthread.php?t=8673

Wenn Du jetzt die TX version installert hast, lade bitte mal meine Testerkennung ( http://www.safer-networking.org/file...ws15102004.sbi ) herrunter und kopier diese in dein Spybot S&D Verzeichnis in Includes.

Überprüf deinen Rechner und erstell dann ein Spybot Report

Zusätzlich würde ich mich ueber folgende Datein freuen

Am einfachsten Du benutzt den Suspicious File Packer
===[Den nachfolgenden Block einfach ins den SFP kopieren]

E:\WINDOWS1\system32\appsp.exe
E:\Programme\ISTsvc\istsvc.exe
E:\WINDOWS1\System32\ctfmon.exe
E:\WINDOWS1\ntmv32.exe
E:\WINDOWS1\mlgfn.dll
E:\WINDOWS1\system32\addvk.dll
E:\WINDOWS1\system32\appsp.exe
E:\WINDOWS1\System32\hmuukm.exe
E:\Programme\ISTsvc\istsvc.exe
E:\WINDOWS1\web\related.htm
E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
E:\WINDOWS1\msopt.dll

=====================

Bitte wundert Euch nicht, dass ich auch "gute" Programm unter Umständen
anfordere, dass liegt unter anderem da dran, dass ich auch nicht alles kenne ,) und andererseits wir auch die Datenbanken von uns mit guten Programm füttern

Gruss
Michael

somaspa · 22.10.2004, 12:25

Hallo,
vielen Dank. Aber langsam ich bin neu. Hab alles soweit gemacht. Report erstellen? Wie geht das?
Und Suspicious File Packer ? Wo find ich den.
Sorry bin aber lernfähig.
Danke Manfred

somaspa · 22.10.2004, 12:46

Hallo,
ist im Moment wieder alles in Ordnung. Habe die Tips abgearbeitet.
Will hoffen das es so bleibt. Super und vielen Dank für eure Hilfe.

Manfred

somaspa · 22.10.2004, 12:58

Hallo,
ist wohl doch noch nicht ganz weg.
Hoffe ich habe alles richtig verstanden. Habe alles hier rein kopiert.
--- Search result list ---
CoolWWWSearch.HomeSearch: Bibliothek (Datei, nothing done)
E:\WINDOWS1\lbxws.dll

CoolWWWSearch.Feat2DLL: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27D8DE0B-8EDB-6199-A6FB-70958AE8C73A}

CoolWWWSearch.Feat2DLL: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27D8DE0B-8EDB-6199-A6FB-70958AE8C73A}

CoolWWWSearch.Feat2DLL: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDF9AC3B-8986-AD59-683C-5B23083ADD53}

CoolWWWSearch.Feat2DLL: Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FDF9AC3B-8986-AD59-683C-5B23083ADD53}

CoolWWWSearch.Feat2Installer: Daten (Datei, nothing done)
E:\WINDOWS1\vkiku.dat

CoolWWWSearch.Feat2Installer: Autorun-Einstellungen (appef.exe) (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\appef.exe

CoolWWWSearch.Feat2Installer: Programmdatei (Datei, nothing done)
E:\WINDOWS1\appef.exe

CoolWWWSearch.Feat2Installer: Ausführbare Datei (Datei, nothing done)
E:\WINDOWS1\d3kz.exe

CoolWWWSearch: Verfolgender Cookie (Internet Explorer: Manfred) (Cookie, nothing done)

--- Spybot - Search & Destroy version: 1.3 .1TX (build: 20040801) ---

2004-05-12 blindman.exe (1.0.0.0)
2004-08-30 SpybotSD.exe (1.3.0.12)
2004-05-12 TeaTimer.exe (1.3.0.12)
2004-06-15 unins000.exe (51.15.0.0)
2004-05-12 Update.exe (1.3.0.0)
2004-05-12 advcheck.dll (1.0.1.0)
2004-05-12 borlndmm.dll (7.0.4.453)
2004-05-12 delphimm.dll (7.0.4.453)
2004-05-12 Tools.dll (2.0.0.0)
2004-05-12 UnzDll.dll (1.73.1.1)
2004-05-12 ZipDll.dll (1.73.2.0)
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi
2004-10-22 Includes\v.sbi

--- System information ---
Windows XP (Build: 2600) Service Pack 1

--- Startup entries list ---
Located: HK_LM:Run, appef.exe
command: E:\WINDOWS1\appef.exe
file: E:\WINDOWS1\appef.exe
size: 26624
MD5: dbabfbc267f213749ffc88fe5a84a978

Located: HK_LM:Run, NvCplDaemon
command: RUNDLL32.EXE E:\WINDOWS1\System32\NvCpl.dll,NvStartup
file: E:\WINDOWS1\system32\RUNDLL32.EXE
size: 32256
MD5: 3b97edb791fb209017b8864c8e7087f9

Located: HK_LM:Run, nwiz
command: nwiz.exe /install
file: E:\WINDOWS1\system32\nwiz.exe
size: 753664
MD5: aa022dfa622c90c3060ca794914b11aa

Located: HK_LM:Run, StatusClient
command: E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

Located: HK_LM:Run, TomcatStartup
command: E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
file: E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
size: 155648
MD5: 9d1ded853aaecd2b207577dff3c5780d

Located: HK_LM:Run, Win Comm
command: E:\Program Files\Win Comm\WinComm.exe

Located: HK_CU:Run, CTFMON.EXE
command: E:\WINDOWS1\System32\ctfmon.exe
file: E:\WINDOWS1\System32\ctfmon.exe
size: 13312
MD5: e5ee2f4700b6a85f0d45a18c67da500f

Located: HK_CU:Run, MSMSGS
command: "E:\Programme\Messenger\msmsgs.exe" /background
file: E:\Programme\Messenger\msmsgs.exe
size: 1511453
MD5: 1e455b08870d4ac3bb6ab5968603e8af

Located: HK_CU:Run, NvMediaCenter
command: RUNDLL32.EXE E:\WINDOWS1\System32\NVMCTRAY.DLL,NvTaskbarInit
file: E:\WINDOWS1\system32\RUNDLL32.EXE
size: 32256
MD5: 3b97edb791fb209017b8864c8e7087f9

Located: Startup (allgemein), Microsoft Office.lnk
command: E:\Programme\Microsoft Office\Office10\OSA.EXE
file: E:\Programme\Microsoft Office\Office10\OSA.EXE
size: 83360
MD5: 5bc65464354a9fd3beaa28e18839734a

Located: WinLogon, crypt32chain
command: crypt32.dll

Located: WinLogon, cryptnet
command: cryptnet.dll

Located: WinLogon, cscdll
command: cscdll.dll

Located: WinLogon, ScCertProp
command: wlnotify.dll

Located: WinLogon, Schedule
command: wlnotify.dll

Located: WinLogon, sclgntfy
command: sclgntfy.dll

Located: WinLogon, SensLogn
command: WlNotify.dll

Located: WinLogon, termsrv
command: wlnotify.dll

Located: WinLogon, wlballoon
command: wlnotify.dll

--- Browser helper object list ---
{27D8DE0B-8EDB-6199-A6FB-70958AE8C73A} ()
BHO name:
CLSID name:
Path: E:\WINDOWS1\system32\
Long name: msft.dll
Short name:
Date (created): 10.10.2004 10:12:22
Date (last access): 22.10.2004 13:47:12
Date (last write): 10.10.2004 10:12:22
Filesize: 93184
Attributes: archive
MD5: D9F3BEFF67BDE82B52FA5FE08DA5229F
CRC32: 16BF530F
Version: 255.255.255.255

--- ActiveX list ---
EuApplet (EuApplet)
DPF name: EuApplet
CLSID name:

FFPApplet (FFPApplet)
DPF name: FFPApplet
CLSID name:

{91433D86-9F27-402C-B5E3-DEBDD122C339} ()
DPF name:
CLSID name:

--- Process list ---

PID: 0 ( 0) [System]
PID: 4 ( 0) System
PID: 468 ( 4) \SystemRoot\System32\smss.exe
PID: 532 ( 468) csrss.exe
PID: 556 ( 468) \??\E:\WINDOWS1\system32\winlogon.exe
PID: 600 ( 556) E:\WINDOWS1\system32\services.exe
PID: 612 ( 556) E:\WINDOWS1\system32\lsass.exe
PID: 696 (1332) E:\Programme\Messenger\msmsgs.exe
PID: 728 (1928) E:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
PID: 788 ( 600) E:\WINDOWS1\system32\svchost.exe
PID: 840 ( 600) E:\WINDOWS1\System32\svchost.exe
PID: 976 ( 600) svchost.exe
PID: 1076 ( 600) svchost.exe
PID: 1312 (1332) E:\WINDOWS1\System32\RUNDLL32.EXE
PID: 1320 ( 840) E:\WINDOWS1\System32\wuauclt.exe
PID: 1332 (1312) E:\WINDOWS1\Explorer.EXE
PID: 1348 ( 600) E:\WINDOWS1\system32\spoolsv.exe
PID: 1552 ( 600) E:\DATEV\SYSTEM\PSNTSERV.EXE
PID: 1592 ( 600) E:\WINDOWS1\System32\nvsvc32.exe
PID: 1608 ( 600) E:\WINDOWS1\ntmv32.exe
PID: 1788 (1332) E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
PID: 1808 ( 600) E:\UPS\WorldShip\WorldShip\Wshipservicecom.exe
PID: 1920 (1816) E:\Programme\Spybot - Search & Destroy\SpybotSD.exe
PID: 1944 (1332) E:\WINDOWS1\System32\ctfmon.exe
PID: 1968 ( 288) E:\WINDOWS1\appef.exe
Spybot - Search && Destroy process list report, 22.10.2004 13:50:57

--- Browser start & search pages list ---
Spybot - Search && Destroy browser pages report, 22.10.2004 13:50:57

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
res://E:\WINDOWS1\lbxws.dll/sp.html#29126
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
res://E:\WINDOWS1\lbxws.dll/sp.html#29126
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://www.google.com/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
res://E:\WINDOWS1\lbxws.dll/sp.html#29126
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar
res://E:\WINDOWS1\lbxws.dll/sp.html#29126
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
res://E:\WINDOWS1\lbxws.dll/sp.html#29126
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
res://E:\WINDOWS1\lbxws.dll/sp.html#29126
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

--- Winsock Layered Service Provider list ---
Requested file archive from 22.10.2004 13:55:30
Created by Suspicious File Packer 0.1
Copyright © 2004 Safer Networking Limited. All rights reserved.

- could not add: E:\WINDOWS1\system32\appsp.exe
- could not add: E:\Programme\ISTsvc\istsvc.exe
+ added: E:\WINDOWS1\System32\ctfmon.exe
+ added: E:\WINDOWS1\ntmv32.exe
- could not add: E:\WINDOWS1\mlgfn.dll
- could not add: E:\WINDOWS1\system32\addvk.dll
- could not add: E:\WINDOWS1\system32\appsp.exe
- could not add: E:\WINDOWS1\System32\hmuukm.exe
- could not add: E:\Programme\ISTsvc\istsvc.exe
+ added: E:\WINDOWS1\web\related.htm
+ added: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
+ added: E:\WINDOWS1\msopt.dll

Vielen Dank für die Mühe.

Manfred

Kimi · 04.11.2004, 15:38

Hallo könnt ihr mir helfen??ich hab voll keinen plan, aber HijackThis hat folgendes gefunden...was darf denn weg??
bitte helft mir...
gruß
kim nadine

Logfile of HijackThis v1.98.2
Scan saved at 15:39:57, on 04.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\System32\mgabg.exe
C:\WINNT\crlh32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\WINNT\system32\Smtray.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINNT\system32\windc.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Extensis\Suitcase\Suitcase.exe
C:\lotus\organize\easyclip6.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\sowayves\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\uuiqx.dll/sp.html#22776
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\uuiqx.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\uuiqx.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\uuiqx.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\uuiqx.dll/sp.html#22776
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\uuiqx.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\uuiqx.dll/sp.html#22776
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2AC7347B-C8A4-CF45-E2D8-ED6C8C97B42E} - C:\WINNT\system32\ipfq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [MGA_CD_Install] F:\mgasetup.exe /No_Welcome /Lang

eutsch
O4 - HKLM\..\Run: [Smapp] Smtray.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [windc.exe] C:\WINNT\system32\windc.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Suitcase Startup.lnk = C:\Programme\Extensis\Suitcase\Suitcase.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

Home Search, Only the best belästigt mich

Plagegeister aller Art und deren Bekämpfung: Home Search, Only the best belästigt mich