Trojaner-Board - AZESEARCH in der Toolbar

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AZESEARCH in der Toolbar (https://www.trojaner-board.de/21321-azesearch-toolbar.html)

AZESEARCH in der Toolbar

Hallo,
ich habe einen nervigen Tojaner. Wer kann mir helfen????

Logfile of HijackThis v1.99.1

Scan saved at 12:36:05, on 29.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINNT\system32\wjyxic.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
P:\DVD Brennsoftware\AnyDVD\AnyDVD.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
P:\Programme\Common\Bin\WinCinemaMgr.exe
C:\Program Files\E-Color\True Internet Color\TICIcon.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates2.exe
C:\Programme\Web_Rebates\WebRebates0.exe
P:\Programme\BDProf\mgui.exe
P:\Programme\SlimBrowser\sbrowser.exe
P:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\samy99\Lokale Einstellungen\Temp\HijackThis.exe

Wenn einer von euch weiß wie ich das wieder los werden kann wäre ich echt dankbar.
Vielen Dank schonmal
samy_99

Hallo samy_99,

poste bitte eine komplettes Logfile..

dartus

:dummguck: ist das nicht das komplette?
mehr ist in der Worddatei nicht
dann habe ich wohl was falsch gemacht

lies dir die anleitung nochmals durch und poste das komplette logfile
www.trojaner-board.de/showthread.php?t=17493

Logfile of HijackThis v1.99.1
Scan saved at 14:04:45, on 29.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINNT\system32\wjyxic.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
P:\DVD Brennsoftware\AnyDVD\AnyDVD.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
P:\Programme\Common\Bin\WinCinemaMgr.exe
C:\Program Files\E-Color\True Internet Color\TICIcon.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates2.exe
C:\Programme\Web_Rebates\WebRebates0.exe
P:\Programme\BDProf\mgui.exe
P:\Programme\SlimBrowser\sbrowser.exe
P:\Zip-Dateien\Trojanercheck\pruefung.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = p://www.couldnotfind.com/search_page...ount_id=138770
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = p://www.couldnotfind.com/search_page...ount_id=138770
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page p://web.de/[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = p://www.couldnotfind.com/search_page...ount_id=138770
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = ://web.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\system32\bridge.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINNT\system32\azesearch4.ocx
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINNT\system32\iasada.dll
O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\system32\azesearch4.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [\\192.168.0.10\EPSON Stylus Photo R200 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P45 "\\192.168.0.10\EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [cofrimjjifpzi] C:\WINNT\system32\wjyxic.exe
O4 - HKLM\..\Run: [7o7Eo] C:\WINNT\sgwoshc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\system32\bridge.dll",Load
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AnyDVD] P:\DVD Brennsoftware\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] P:\Programme\Purgatio\checker.exe /check
O4 - Global Startup: BitDefender Live!.lnk = C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = P:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - g:\Programme\Preispiraten 2.0b\preispiraten2.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h://software-dl.real.com/1526ba5c648...dxIE601_de.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - p://www.xxxtoolbar.com/ist/softwares...006_cracks.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h://www.azebar.com/install/azesearch.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - p://install.power-url.de/InstallationsAssistent.ocx[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C0AA086-7FCB-4B0D-AA72-FB0FE0B39CE0}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD4A8489-5C1B-4164-8CBB-296FC841D1ED}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{7C0AA086-7FCB-4B0D-AA72-FB0FE0B39CE0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{7C0AA086-7FCB-4B0D-AA72-FB0FE0B39CE0}: NameServer = 192.168.1.1
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ISEXEng - Unknown owner - C:\WINNT\system32\angelex.exe (file missing)

moin....

Fixe mal mit hijackthis:
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (Das Programm auch löschen!!!!!! solltest du ISTbar auf deinem rechner haben hast du sehr wahrscheinlich nen Trojaner....)

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"(so das ist nen trojaner der Sorte Dyfuca....aus eigener Erfahrung.......und auch löschen^^)

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - hxxp://www.azebar.com/install/azesearch.cab

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)

O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINNT\system32\azesearch4.ocx

O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\system32\azesearch4.ocx

Und besorge dir Spybot Search&Destroy +Ad-Aware.....

Mfg....
Kobi

und mach aus deinen links "hxxp......."

Hallo@samy_99

Gehe in die Registry

Start-->Ausfuehren --> regedit

loeschen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media Access

HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\DyFuCA

HKLM\software\microsoft\windows\currentversion\Uninstall\Internet Optimizer

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_...count_id=138770
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_...count_id=138770
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=138770
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\system32\bridge.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINNT\system32\azesearch4.ocx
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINNT\system32\iasada.dll
O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\system32\azesearch4.ocx
O4 - HKLM\..\Run: [cofrimjjifpzi] C:\WINNT\system32\wjyxic.exe
O4 - HKLM\..\Run: [7o7Eo] C:\WINNT\sgwoshc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\system32\bridge.dll",Load
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - g:\Programme\Preispiraten 2.0b\preispiraten2.exe (file missing)
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...0006_cracks.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - p://www.xxxtoolbar.com/ist/software...0006_cracks.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h://www.azebar.com/install/azesearch.cab
O23 - Service: ISEXEng - Unknown owner - C:\WINNT\system32\angelex.exe (file missing)

PC neustarten

•Deinstallieren:
"Start - Einstellungen - Systemsteuerung - Software"
MediaAccess
Internet Optimize
Media Gateway

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\2_0_1browserhelper2.dll
C:\WINNT\nem220.dll
C:\WINNT\sgwoshc.exe
C:\WINNT\system32\angelex.exe
C:\Programme\SideFind\sidefind.dll
C:\Programme\SideFind\sfbho.dll
C:\Programme\SideFind\sfbho13.dll
C:\Programme\SideFind\sfex001
C:\Programme\SideFind\update\sidefind.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAcess.exe
C:\Program Files\Media Access\Info.txt
C:\Program Files\Media Access\MediaAccC.dll
c:\windows\downloaded program files\mediaaccx.dll
C:\Program Files\Media Gateway\MediaGateway.exe
C:\WINNT\system32\wjyxic.exe
C:\WINNT\system32\bridge.dll
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates2.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINNT\localNRD.dll
C:\WINNT\system32\iasada.dll
C:\WINNT\system32\azesearch4.ocx

PC neustarten

-CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

-loeschen:--> am besten im abgesicherten Modus, also F8 druecken, wenn der PC hochfaehrt
C:\Programme\SideFind
C:\Program Files\Media Access
C:\Program Files\Internet Optimizer
C:\Programme\Web_Rebates
C:\Program Files\Media Gateway

•Ad-aware SE Personal
http://nikita.eddys-domain.de/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://nikita.eddys-domain.de/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen

-bitte abarbeiten und alles posten (mit dem Pfadangaben)
http://nikita.eddys-domain.de/datfindbat.html
-------------------------------------------------------------------------------------------
Info:
http://nikita.eddys-domain.de/Artike...azesearch.html

@ Sabina

hab ganz herzlich vielen Dank für deine Hilfe!!!!!!!!!!!!!!!!

Ich bin echt sehr froh das die toolbar jetzt wieder normal aussieht.
Ohne deine Hilfe hätte ich das nicht weg bekommen.

Super nett von dir :bussi:

Hallo@samy_99

der PC ist aber (meiner Erfahrung nach...) noch nicht sauber

-bitte abarbeiten und alles posten (mit dem Pfadangaben)
http://nikita.eddys-domain.de/datfindbat.html

Verzeichnis von C:\WINNT\system32

29.08.2005 19:12 16.384 Perflib_Perfdata_258.dat
29.08.2005 18:44 3.002 CONFIG.NT
29.08.2005 18:04 26.813 azebar.xml
26.08.2005 12:41 4.720 ide21201.vxd
26.08.2005 10:00 98.304 dfrg.msc
05.08.2005 03:31 1.457.496 MRT.exe
04.08.2005 11:50 176.167 rmoc3260.dll
04.08.2005 11:50 5.632 pndx5032.dll
04.08.2005 11:50 6.656 pndx5016.dll
04.08.2005 11:50 278.528 pncrt.dll
19.07.2005 12:38 2.699.264 MSHTML.DLL
13.07.2005 09:21 140.560 faxui.dll
13.07.2005 09:21 88.848 WIN32SPL.DLL
13.07.2005 09:21 81.168 spoolss.dll
12.07.2005 06:59 47.376 spoolsv.exe
09.07.2005 11:03 433.152 aswBoot.exe
09.07.2005 10:56 90.112 AVASTSS.scr
02.07.2005 13:30 68.368 REMOTESP.TSP
02.07.2005 13:30 175.888 tapisrv.dll
02.07.2005 04:53 15.072 spmsg.dll
29.06.2005 08:45 89.872 UMPNPMGR.DLL
29.06.2005 00:30 246.032 icm32.dll
29.06.2005 00:30 69.904 mscms.dll
23.06.2005 09:24 282.624 mgxoschk.dll
18.06.2005 00:25 581.632 WININET.DLL
18.06.2005 00:25 1.338.368 SHDOCVW.DLL
18.06.2005 00:25 1.017.856 BROWSEUI.DLL
15.06.2005 06:22 208.144 kerberos.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 41.240 wups.dll

Verzeichnis von C:\DOKUME~1\samy99\LOKALE~1\Temp

29.08.2005 18:50 49.152 ~DF66BB.tmp
29.08.2005 18:15 16.384 ~DF9BAF.tmp
26.08.2005 13:12 0 180E0.tmp
26.08.2005 13:12 0 180DB.tmp
26.08.2005 13:09 0 180D6.tmp
26.08.2005 12:53 26.624 iinstall.exe
26.08.2005 12:47 0 180C6.tmp
26.08.2005 12:44 0 180BA.tmp
26.08.2005 12:43 0 180B6.tmp
26.08.2005 12:37 26.624 jfghjfgudk.exe
25.08.2005 20:30 21.542 AXISAddPRinterHelp.chm
10.08.2005 11:09 3 Twain001.Mtx
10.08.2005 11:09 156 Twunk001.MTX
10.08.2005 11:09 219 TWAIN.LOG
10.08.2005 10:54 0 CacheInfo.dnl
04.08.2005 15:21 16.384 ~DFAAD4.tmp
02.08.2005 14:00 13.844.480 ~DFB0B8.tmp
20.07.2005 14:20 16.384 ~DF9EED.tmp
20.07.2005 14:20 16.384 ~DF9E4C.tmp
20.07.2005 14:20 16.384 ~DF9DB0.tmp
20.07.2005 14:20 16.384 ~DF9D18.tmp
20.07.2005 14:20 16.384 ~DF9C82.tmp
20.07.2005 14:20 16.384 ~DF9BEA.tmp
20.07.2005 14:20 16.384 ~DF9B59.tmp
20.07.2005 14:20 16.384 ~DF9ACA.tmp
20.07.2005 14:20 16.384 ~DF9A41.tmp
20.07.2005 14:20 16.384 ~DF99BB.tmp
20.07.2005 14:20 16.384 ~DF9937.tmp
20.07.2005 14:20 16.384 ~DF98AC.tmp
20.07.2005 14:20 16.384 ~DF982E.tmp
20.07.2005 14:20 16.384 ~DF97B3.tmp
20.07.2005 14:20 16.384 ~DF973C.tmp

Verzeichnis von C:\WINNT

29.08.2005 23:11 7.239 Solitaire.ini
29.08.2005 19:11 471.032 WindowsUpdate.log
29.08.2005 18:51 32.584 SchedLgU.Txt
29.08.2005 18:46 831 ODBC.INI
29.08.2005 18:40 45 IHDJNFHJ.ini
29.08.2005 18:38 359 wincmd.ini
29.08.2005 18:33 493 IEPatchUninstall.log
29.08.2005 18:12 447 AvxOnline.log
29.08.2005 18:10 478.913 setupapi.log
29.08.2005 18:04 12.344 azesearch.bmp
29.08.2005 14:50 276.634 ShellIconCache
26.08.2005 15:02 116 homeDVD-Fotos4_5.INI
26.08.2005 12:50 329 regular_plugin.exe
26.08.2005 12:49 104 banner.js
26.08.2005 12:49 6.518 spywareremoval.ico
26.08.2005 12:49 6.518 shopping.ico
26.08.2005 12:49 6.518 casino.ico
26.08.2005 12:49 0 hosts
26.08.2005 12:49 12.800 azentretien.dll
25.08.2005 20:47 2.246 cdplayer.ini
25.08.2005 20:38 116 NeroDigital.ini
14.08.2005 21:13 29 standard.sta
13.08.2005 19:20 1.429 imsins.log
13.08.2005 19:20 200.564 comsetup.log
13.08.2005 19:20 467.050 iis5.log
13.08.2005 19:20 18.406 KB893756.log
13.08.2005 19:20 171.692 ocgen.log
13.08.2005 19:20 13.296 ockodak.log
13.08.2005 19:20 14.744 updspapi.log
13.08.2005 19:20 1.410 imsins.BAK

Verzeichnis von C:\

29.08.2005 23:26 0 sys.txt
29.08.2005 23:25 12.108 system.txt
29.08.2005 23:25 30.595 systemtemp.txt
29.08.2005 23:24 102.784 system32.txt
29.08.2005 19:11 805.306.368 pagefile.sys
26.08.2005 13:12 46 hWaitEventRetryInstall
09.08.2005 12:58 1.632 ASPI.LOG
14.03.2005 13:39 1.982 log.txt
18.01.2005 14:58 246 Lemm_log.txt
15.01.2005 23:35 2.110 vd12238368b.dat
15.01.2005 23:35 19.930 vd05638368c.dat
15.01.2005 23:35 15.793 vd13438368d.dat
15.01.2005 23:35 29.178 vd20038368e.dat
15.01.2005 23:35 14.246 vd21338368e.dat
15.01.2005 23:35 10.075 vd07638368b.dat
15.01.2005 23:35 2.806 vd05238368d.dat
15.01.2005 23:35 4.774 vd05038368e.dat
15.01.2005 23:35 18.613 vd04438368d.dat
15.01.2005 23:35 2.467 vd04238368b.dat
15.01.2005 23:35 22.012 vd03438368d.dat
15.01.2005 23:35 2.786 vd02438368c.dat
15.01.2005 23:35 3.252 vd02338368b.dat
15.01.2005 23:35 7.412 vd02238368d.dat
15.01.2005 23:35 2.315 vd01538368c.dat
15.01.2005 23:35 36.510 vd00938368e.dat
15.01.2005 23:35 34.872 vd00838368d.dat
15.01.2005 23:35 36.981 vd00638368d.dat
15.01.2005 23:35 39.017 vd00538368f.dat
15.01.2005 23:35 34.176 vd00438368e.dat
15.01.2005 23:35 37.160 vd00338368d.dat
15.01.2005 23:35 53.248 vd00238368e.dat
15.01.2005 23:35 42.179 vd00138368e.dat
15.01.2005 23:35 8.023 vd12238367c.dat
15.01.2005 23:35 11.530 vd05638367c.dat
15.01.2005 23:35 23.222 vd13438367f.dat
15.01.2005 23:35 28.389 vd20038367f.dat
15.01.2005 23:35 12.920 vd21338367c.dat
15.01.2005 23:35 12.573 vd07638367b.dat

Hallo@samy_99

Gehe in die Registry

Start-->Ausfuehren--> regedit

loesche:
HKLM\SOFTWARE\AZESearchCo
HKLM\SOFTWARE\Classes\ZToolbar.activator

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\azebar.xml
C:\WINDOWS\system32\ide21201.vxd
C:\Dokumente und Einstellungen\samy99\Lokale Einstellungen\Temp\iinstall.exe
C:\Dokumente und Einstellungen\samy99\Lokale Einstellungen\Temp\jfghjfgudk.exe
C:\WINNT\downloaded program files\azesearch.inf
C:\WINNT\IHDJNFHJ.ini
C:\WINNT\azesearch.bmp
C:\WINNT\regular_plugin.exe
C:\WINNT\banner.js
C:\WINNT\spywareremoval.ico
C:\WINNT\shopping.ico
C:\WINNT\casino.ico
C:\WINNT\hosts
C:\WINNT\azentretien.dll

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

ewido (poste mir den Report vom Scan
http://nikita.eddys-domain.de/Ewido.html

loesche:
HKLM\SOFTWARE\AZESearchCo
HKLM\SOFTWARE\Classes\ZToolbar.activator

kann ich in der Registry nirgends finden :-(((

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:52:21, 01.09.2005
+ Report-Checksumme: 1C987AD9

+ Scanergebnis:

HKLM\SOFTWARE\Classes\Bridge.brdg -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Bridge.brdg\CLSID -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Bridge.brdg\CurVer -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BrowserHelperObject.BAHelper -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BrowserHelperObject.BAHelper\CLSID -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\BrowserHelperObject.BAHelper\CurVer -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD} -> Spyware.Transponder : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{5F1ABCDB-A875-46c1-8345-B72A4567E486} -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{80BB7465-A638-43B5-9827-8E8FE38DFCC1} -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7} -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\DyFuCA_BH.BHObj -> Spyware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\DyFuCA_BH.BHObj\CLSID -> Spyware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\DyFuCA_BH.BHObj\CurVer -> Spyware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{1C01D150-91A4-4DE0-9BF8-A35D1BDF1001} -> Spyware.SafeSurfing : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{339D8AFF-0B42-4260-AD82-78CE605A9543} -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{4FDBDBAD-FEFE-4C4C-9CC1-1181052AFB12} -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{7B9A715E-9D87-4C21-BF9E-F914F2FA953F} -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{A36A5936-CFD9-4B41-86BD-319A1931887F} -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{A42C0EF4-1C76-43CC-989F-EADC7E4B755D} -> Spyware.VX2 : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{B88A3AF1-4F1B-4400-8FFB-3FCB108CE115} -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Jao.jao -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Jao.jao\CLSID -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Jao.jao\CurVer -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\LocalNRDDll.LocalNRDDllObj -> Spyware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\LocalNRDDll.LocalNRDDllObj\CLSID -> Spyware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\LocalNRDDll.LocalNRDDllObj\CurVer -> Spyware.BetterInternet : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Pugi.PugiObj -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Pugi.PugiObj\CLSID -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Pugi.PugiObj\CurVer -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SideFind.Finder -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SideFind.Finder\CLSID -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\SideFind.Finder\CurVer -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{3FA866AC-40D7-4FE6-BABF-78EE854A4325} -> Spyware.VX2 : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{40B1D454-9CA4-43CC-86AA-CB175EAC52FB} -> Spyware.MoneyTree : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{58634367-D62B-4C2C-86BE-5AAC45CDB671} -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6} -> Spyware.ISTBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{C094876D-1B0E-46FA-B6A6-7FFC0F970C27} -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{D0288A41-9855-4A9B-8316-BABE243648DA} -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{DDAF2479-6F00-4599-998A-3ED75686C6D0} -> Spyware.BlazeFind : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.activator -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.activator\CLSID -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.activator\CurVer -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CLSID -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CurVer -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.StockBar -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CLSID -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CurVer -> Spyware.Azsearch : Gesäubert mit Backup
HKLM\SOFTWARE\IntexusDial -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\SideFind -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ISTbarISTbar -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\untopr1150 -> Spyware.WebRebates : Gesäubert mit Backup
HKLM\SOFTWARE\Policies\Avenue Media -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKLM\SOFTWARE\SideFind -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SOFTWARE\SideFind\History -> Spyware.SideFind : Gesäubert mit Backup
HKLM\SYSTEM\CurrentControlSet\Services\ISEXEng -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SYSTEM\CurrentControlSet\Services\ISEXEng\Security -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SYSTEM\CurrentControlSet\Services\ISEXEng\Enum -> Spyware.BargainBuddy : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\Avenue Media -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\IST -> Spyware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\ISTbar -> Spyware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\ISTbar\ISTbar -> Spyware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\ISTbar\ISTbar\Historyfiles -> Spyware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\ISTbar\ISTbar\Historys1 -> Spyware.ISTBar : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\LocalNRD -> Spyware.BetterInternet : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{8CBA1B49-8144-4721-A7B1-64C578C9EED7} -> Spyware.SideFind : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\Microsoft\Internet Explorer\MenuExt\Web Rebates -> Spyware.WebRebates : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\Policies\Avenue Media -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-839522115-1000\Software\PowerScan -> Spyware.PowerScan : Gesäubert mit Backup

::Report Ende

Hallo@samy_99

Nun, der ewido hat dir die Suche in der Registry abgenommen ;)
Ich hoffe aber sehr, dass du mit der Killbox korrekt gearbeitet hast und geloescht, was ich angegeben hatte.

Alles Gute fuer dich + PC;)

--------------------

•Ad-aware SE Personal
http://nikita.eddys-domain.de/antispywaretools.html
Laden-->Konfigurieren
http://nikita.eddys-domain.de/adaware.html