1. Problem:
das Programm "Spyware Nuker 2004" zeigt an, das im PC die Spyware Exploit sitzt. Klicke ich auf das Kreuz im kleinen Kästchen, so zeigt sich: "Registry Entry".

Hinzugekommen ist inzwischen: eine SpyWare namens CoolWebSearch, die vom SpywareType als Hjacker bezeichnet wird mit der Description: Hjacks Browser settings and redirects traffic to www.coolwebsearch.com or other search engines.

Registry entry HKey_Current_User\Software\Microsoft\Windows\Current Version\Internet Setting\zonemap\ domain\xxxtoolbar.com

2.Problem:
Beim Anklicken verschiedener Links erklingt über den Lautsprecher ein hämisches "Nee-nee" oder auch als "ii-ii" zu beschreiben. Dabei läßt sich der Link nicht aufrufen. Der Verursacher, wer auch immer, scheint zu ahnen, was ich anzuklicken beabsichtige. Einige Klickversuche werden abgewiesen, auch wenn keine Internet-Verbindung besteht. Aber ich habe auch - bei bestehender InternetVerbindung - den Eindruck, das er meinen Screen sehen könnte. Und sich direkt einkischt.

Weitere Virensuchprogramme zeigen an, das auf dem PC als Störer noch sitzen: ALEXA sowie XerOx.

Was also sollte ich tun bzw. wo suchen?
Auch Tipps, wo ich Infos finde, sind sehr erwünscht.

Freundlichen Gruss Roman_C

Poste mal ein Hijackthis Logfile ins Forum

Zitat:

Zitat von Roman_C

1. Problem:
das Programm "Spyware Nuker 2004" zeigt an, das im PC die Spyware Exploit sitzt. Klicke ich auf das Kreuz im kleinen Kästchen, so zeigt sich: "Registry Entry".

Hinzugekommen ist inzwischen: eine SpyWare namens CoolWebSearch, die vom SpywareType als Hjacker bezeichnet wird mit der Description: Hjacks Browser settings and redirects traffic to www.coolwebsearch.com or other search engines.

Registry entry HKey_Current_User\Software\Microsoft\Windows\Current Version\Internet Setting\zonemap\ domain\xxxtoolbar.com
[...]
Freundlichen Gruss Roman_C

xxxtoolbar.com/slotch.com = BOESEEEEEEEEE
Der Registry entry HKey_Current_User\Software\Microsoft\Windows\Current Version\Internet Setting\zonemap\ domain\xxxtoolbar.com\*

Spybot sollte eigentlich meckern, wenn der * Eintrag nicht auf 4 steckt fuer verbotene Zonemap, wenn naemlich * = 2 ist, bedeutet dass die Seite vertrauenswuerdig waere *hustel*

Zitat:

Zitat von Haui45

Poste mal ein Hijackthis Logfile ins Forum

Das Herunterladen von HijackThis hat gut funktioniert. Folgendes hat es gebracht:


Logfile of HijackThis v1.98.2
Scan saved at 15:42:04, on 27.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\JCMB\QUICKNOTE\QUICKNOTE.EXE
C:\T-ONLINE\BSW4\TOADIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\WINSWEEP\WSPOPUP.EXE
C:\PROGRAMME\WINSWEEP\WINJAM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SLLIGHTS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\LOGOX.4.0\LOGOX4.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALEVENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_3.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH.4.0\LGXIEBAR.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_3.DLL
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\PROGRAMME\WINSWEEP\SURFBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Quicknote] C:\PROGRAMME\JCMB\QUICKNOTE\QUICKNOTE.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\RUNONCE.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\PROGRAMME\WINSWEEP\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [WINSWEEP Reklameblockierung] C:\PROGRAMME\WINSWEEP\winjam.exe
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmtrans.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: BINGOOO - {1E06A5C1-5ADE-11D6-8E8F-B71E4B0D604F} - C:\PROGRAMME\BINGOOO\BINGOOO\BINGOOO.EXE (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH.4.0\LGXIEBAR.DLL
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH.4.0\LGXIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: PicGrab - {33192320-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\PROGRAMME\ONLINECOUNTER 2002\OCHangUp.exe (file missing) (HKCU)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yaho...yiebio4025.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLhel...7/dlhelper.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://game.spielbank-wiesbaden.de/plugin.php

Es wird dir wohl kaum weiterhelfen, aber fixe mal dies:

O9 - Extra button: BINGOOO - {1E06A5C1-5ADE-11D6-8E8F-B71E4B0D604F} - C:\PROGRAMME\BINGOOO\BINGOOO\BINGOOO.EXE (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: PicGrab - {33192320-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\PROGRAMME\ONLINECOUNTER 2002\OCHangUp.exe (file missing) (HKCU)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/d...n/GoogleNav.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yah.../yiebio4025.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.co...v43/yacscom.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLhe...n7/dlhelper.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://game.spielbank-wiesbaden.de/plugin.php


Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html