Trojaner-Board - Skriptfehler: http://www.richfind.com/news.php + HijackThis log file

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Skriptfehler: http://www.richfind.com/news.php + HijackThis log file (https://www.trojaner-board.de/7023-skriptfehler-http-www-richfind-com-news-php-hijackthis-log-file.html)

Skriptfehler: http://www.richfind.com/news.php + HijackThis log file

Hallo alle miteinander,
ich habe seit kurzem ein Problem auf meinem Rechner:

Ich besitze die Programme Ad-Aware, Spybot und auch Kaspersky und es werden bei mir keine Viren angezeigt.

Leider bekomme ich beim Schließen von Fenstern oft die Meldung:

In dem Skript auf dieser Seite ist ein Fehler aufgetreten
Zeile: 36
Zeichen: 1
Fehler: objekt erwartet
Code: 0
URL: http://www.richfind.com/news.php

Daraufhin habe ich HijackThis über den PC laufen lassen und habe folgende log erhalten:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Creative\Surround Mixer\CTSysVol.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
c:\programme\internet explorer\iexplore.exe
D:\Eigene Dateien\Tools\hijackthis1982\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.t-online.de/ZDFheute
R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEHelper - {726efd57-bb9a-4414-87a7-507552bcd614} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\tbu25\win32.dll
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093088307078
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3694FD-64AC-4CB3-89E8-75AB14E89742}: NameServer = 217.237.150.33
O20 - AppInit_DLLs: PAVWAIT.DLL

Ich bin auf dem Gebiet von Viren oder Hijackerbekämpfung kein Experte und wäre sehr dankbar, wenn sich ein Experte meiner log-file annehmen könnte.
Schon einmal im vorraus vielen Dank!
MfG
Honk :crazy:

Habe es schon eben selber gefixt. :heilig:
Das Board ist cool und ich empfehle jedem die automatische HijackThis Site:

http://www.hijackthis.de/index.php

Greetz

Hallo alle miteinander,
ich werde hiermit noch einmal näher auf die Lösung meines Problems eingehen, da die von mir beschriebene "Lösung" ;) etwas "kurz" geriet.

Ich habe meine HijackThis Logfile gespeichert und den Inhalt der Logfile Auf der Seite:

HTML-Code:

http://www.hijackthis.de/index.php

gepostet. Dies ist eine Seite, die Logfiles von HijackThis automatisch auswertet.

Daraufhin fixte ich die Einträge:

R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: win32 - {C94158E1-6151-4442-ABE6-FD53D6534EFB} - C:\WINDOWS\Downloaded Program Files\C
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} (win32) - http://searchfind.info/bar/win32.cab

mit HijackThis.

Seitdem habe ich keinerlei Probleme mehr! :D

Meine Logfile sieht jetzt so aus:

Logfile of HijackThis v1.98.2
Gut Zeigt die Version von HijackThis an. Neuste Version: v1.98.2! Ihre Version sollte aktuell sein. (v1.98.2 )
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Gut Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2800.1106! Ihre Version sollte aktuell sein. (6.00.2900.2180)
C:\WINDOWS\System32\smss.exe
Gut Laufender Prozess. (smss.exe)
Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.
C:\WINDOWS\SYSTEM32\winlogon.exe
Gut Laufender Prozess. (winlogon.exe)
Systemprozess - Windows Login Routine
C:\WINDOWS\system32\services.exe
Gut Laufender Prozess. (services.exe)
Systemprozess - Verwaltet die Systemdienste.
C:\WINDOWS\system32\lsass.exe
Gut Laufender Prozess. (lsass.exe)
Systemprozess
C:\WINDOWS\System32\Ati2evxx.exe
Gut Laufender Prozess. (Ati2evxx.exe)

C:\WINDOWS\system32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\WINDOWS\System32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\WINDOWS\system32\spoolsv.exe
Gut Laufender Prozess. (spoolsv.exe)
Systemprozess
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
Gut Laufender Prozess. (Ati2evxx.exe)

C:\WINDOWS\Explorer.EXE
Gut Laufender Prozess. (Explorer.EXE)
Systemprozess für Desktop und Taskleiste.
C:\Programme\AVPersonal\AVGUARD.EXE
Gut Laufender Prozess. (AVGUARD.EXE)
Part of AntiVir
C:\Programme\AVPersonal\AVWUPSRV.EXE
Gut Laufender Prozess. (AVWUPSRV.EXE)
Part of AntiVir
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
Gut Laufender Prozess. (ATIPTAXX.EXE)

C:\Programme\Logitech\iTouch\iTouch.exe
Gut Laufender Prozess. (iTouch.exe)

C:\Programme\Creative\Surround Mixer\CTSysVol.exe
Gut Laufender Prozess. (CTSysVol.exe)
Prozess zur Creative Soundkarte.
C:\Programme\AVPersonal\AVGNT.EXE
Gut Laufender Prozess. (AVGNT.EXE)

C:\Programme\WinTV\Ir.exe
Gut Laufender Prozess. (Ir.exe)

C:\WINDOWS\System32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\Programme\eMule\emule.exe
Gut Laufender Prozess. (emule.exe)

C:\Programme\Outlook Express\msimn.exe
Gut Laufender Prozess. (msimn.exe)

C:\Programme\Internet Explorer\iexplore.exe
Gut Laufender Prozess. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\Programme\Internet Explorer\iexplore.exe
Gut Laufender Prozess. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
D:\Eigene Dateien\Tools\hijackthis1982\HijackThis.exe
Gut Laufender Prozess. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben. Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden!
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.t-online.de/ZDFheu
Gut Diese Seite wurde als Gut identifiziert!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft. Trefferquote: 100,00 %
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([53707962-6F74-2D53-2644-206D7942484F] - Treffer: 53707962-6F74-2D53-2644-206D7942484F) wurde überprüft. Trefferquote: 100,00 %
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
Gut Zum eingegebenen Programm AtiPTA haben wir folgendes Programm gefunden: AtiPTA. Trefferquote: 58,33 % (Resultate)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
Gut Zum eingegebenen Programm zBrowser Launcher haben wir folgendes Programm gefunden: zBrowser Launcher. Trefferquote: 79,41 % (Resultate)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
Gut Zum eingegebenen Programm CTSysVol haben wir folgendes Programm gefunden: CTsysVol. Trefferquote: 74,52 % (Resultate)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
Gut Zum eingegebenen Programm AVGCtrl haben wir folgendes Programm gefunden: AVGCtrl. Trefferquote: 86,36 % (Resultate)
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
Gut Zum eingegebenen Programm LiveMonitor haben wir folgendes Programm gefunden: LiveMonitor. Trefferquote: 96,15 % (Resultate) Nicht gefährlich aber unnötig.
O4 - HKLM\..\RunOnce: [MSIWU_0] "C:\PROGRA~1\MSI\LIVEUP~1\MSIWUPro.exe" -DEL:[C:\PROGRAMME\SETUP FIL
Unbekannt Zum eingegebenen Programm MSIWU_0 haben wir folgendes Programm gefunden: Kein. Trefferquote: 0,00 % (Resultate) Nicht bekanntes Programm.
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
Gut Zum eingegebenen Programm 'AutoStart IR.lnk (Ir.exe)' haben wir folgendes Programm gefunden: 'HP JetSpeed Autostart (AUTOSTART.EXE )'. Trefferquote: 26,38 % (Resultate) Nicht gefährlich aber unnötig.
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
Gut Zum eingegebenen Programm 'CoreCenter.lnk (CoreCenter.exe)' haben wir folgendes Programm gefunden: 'CoreCenter (CoreCenter.exe)'. Trefferquote: 91,67 % (Resultate)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office1
Gut Der Eintrag Nach Microsoft &Excel exportieren wurde als Gut erkannt. Wenn der Eintrag 'Nach Microsoft &Excel exportieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemei
Gut Der Eintrag Recherche wurde als Gut erkannt. Wenn der Eintrag 'Recherche' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creati
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pest
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.mic
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasof
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3694FD-64AC-4CB3-89E8-75AB14E89742}: NameServer = 217.237
Gut Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Die Eingegebene IP oder Domäne '217.237.150.33 ' wurde als gut identifiziert.
O20 - AppInit_DLLs: PAVWAIT.DLL
Unbekannt

Ich hoffe, dass meine Antwort Personen, die mit ähnlichen Problemen kämpfen geholfen hat.
Ich empfehle die Programme:
Ad-Aware SE Personal & Spybot Search and Destroy

MfG
:daumenhoc Honk

:daumenhoc DANKE, HONK, jetzt bin ich ihn auch los! Weiterhin viel Spaß im WWW (ohne Ärger)

Grüsse

Alex

:party: Kein Problem. Gern geschehen. Ärgerlich, solche Sachen ^^!
Have a nice Day!

Hi@all,

Hab mich jetzt mal bei euch neu angemeldet, da ich dieses "Richfind" Prob auch habe und leider nicht loswerde. Hab es mit hijackthis versucht und die entsprechenden prozesse gefixt. Anfänglich klappte es auch, doch sobald ich den 'hijackthis ordner' verlassen habe, is das problem wieder da. Und wenn ich erneut scanne, sind die alten prozesse wieder da und das ganze spielchen wiederholt sich. Is vermutlich auch nur ein Anwendungsfehler :confused: , nutze dieses Prog zum ersten mal!

Danke schon im vorraus

Gruß FreshPrince

Es dürfte daran liegen, dass du die Systemwiederherstellung vor dem Fixen nicht deaktiviert hast. Poste bitte erstmal das Log, bevor du etwas fixst, die automatische Erkennung ist nicht 100%ig zuverlässig.

Danke für die schnelle Antwort
So hier mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 12:30:35, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sven Jakobs\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {F68E561A-28E9-4136-952D-FB1107091C26} - C:\WINDOWS\System32\Q24778500.dll
O2 - BHO: Richfind - {2A554F9F-055E-4195-B46B-18668166BE66} - C:\WINDOWS\System32\Q24778500.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O9 - Extra button: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O18 - Filter: text/html - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/plain - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll

Hallo,
@ FreshPrince

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus und fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {F68E561A-28E9-4136-952D-FB1107091C26} - C:\WINDOWS\System32\Q24778500.dll
O2 - BHO: Richfind - {2A554F9F-055E-4195-B46B-18668166BE66} - C:\WINDOWS\System32\Q24778500.dll
O9 - Extra button: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/html - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll
O18 - Filter: text/plain - {45642954-0860-4AD9-9CA7-797304F91A40} - C:\WINDOWS\System32\Q24778500.dll

Lösche diese Datei:
C:\WINDOWS\System32\Q24778500.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Super!! Klappt alles wieder!
Danke Cidre :daumenhoc

Hier meine jetzige Log:

Logfile of HijackThis v1.98.2
Scan saved at 18:28:19, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sven Jakobs\Desktop\hijackthis_198\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll (file missing)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

Diesen Eintrag solltest du noch fixen, ansonsten ist dein Log-File sauber:
O3 - Toolbar: Richfind - {1C1798C0-2166-473A-896D-7EA3C13DE9F1} - C:\WINDOWS\System32\Q24778500.dll (file missing)

Damit es auch so bleibt, les dir diesen Link durch und handle danach: ;)
http://www.mathematik.uni-marburg.de...ompromise.html

Hallo,

ich habe jetzt auch dieses Problem mit richfind.com!
Anbei sende ich mein Logfile. Wäre schön, wenn mir jemand Schritt für Schritt erklären könnte, was ich tun soll. Habe nämlich gestern schon einmal versucht die eindeutigen Einträge zu fixen, hat aber irgendwie nicht wirklich funktioniert. Schon jetzt vielen Dank für euere Hilfe!!!!

Logfile of HijackThis v1.97.7
Scan saved at 08:58:41, on 24.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\NVAREM.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Oliver Opel\Eigene Dateien\Eigene Bilder\Hintergrundbilder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {486EE1E0-5B4E-4387-B6D1-CF1F3463E3D9} - C:\WINDOWS\System32\Q38799296.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0D145D8F-FD48-4142-A9F2-28FF2EF5B54D} - C:\WINDOWS\System32\Q38799296.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Richfind - {BC8C739E-3326-4D36-9297-6AF0BA43FD5C} - C:\WINDOWS\System32\Q38799296.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Richfind (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1092567075468
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

Hallo lonewolve,

es funktionierte deshalb nicht, weil du die alte Version von HJT nutzt. Lade also die neue Version 1.98.2 und poste dann nochmal ein aktuelles Log-File.

Hallo Cidre,

hier mein neues Logfile mit der aktuellen Version von HJT:

Logfile of HijackThis v1.98.2
Scan saved at 11:09:11, on 24.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\NVAREM.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Oliver Opel\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {486EE1E0-5B4E-4387-B6D1-CF1F3463E3D9} - C:\WINDOWS\System32\Q38799296.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Richfind - {0D145D8F-FD48-4142-A9F2-28FF2EF5B54D} - C:\WINDOWS\System32\Q38799296.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Richfind - {BC8C739E-3326-4D36-9297-6AF0BA43FD5C} - C:\WINDOWS\System32\Q38799296.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Richfind - {BC8C739E-3326-4D36-9297-6AF0BA43FD5C} - C:\WINDOWS\System32\Q38799296.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O18 - Filter: text/html - {4BAAA703-7665-4B6F-914C-0FC8F815289C} - C:\WINDOWS\System32\Q38799296.dll
O18 - Filter: text/plain - {4BAAA703-7665-4B6F-914C-0FC8F815289C} - C:\WINDOWS\System32\Q38799296.dll

Wechsle in den abgesicherten Modus und fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {486EE1E0-5B4E-4387-B6D1-CF1F3463E3D9} - C:\WINDOWS\System32\Q38799296.dll
O2 - BHO: Richfind - {0D145D8F-FD48-4142-A9F2-28FF2EF5B54D} - C:\WINDOWS\System32\Q38799296.dll
O3 - Toolbar: Richfind - {BC8C739E-3326-4D36-9297-6AF0BA43FD5C} - C:\WINDOWS\System32\Q38799296.dll
O9 - Extra button: Richfind - {BC8C739E-3326-4D36-9297-6AF0BA43FD5C} - C:\WINDOWS\System32\Q38799296.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Filter: text/html - {4BAAA703-7665-4B6F-914C-0FC8F815289C} - C:\WINDOWS\System32\Q38799296.dll
O18 - Filter: text/plain - {4BAAA703-7665-4B6F-914C-0FC8F815289C} - C:\WINDOWS\System32\Q38799296.dll

Danach diese Datei löschen:
C:\WINDOWS\System32\Q38799296.dll

- scanne mit aktualisierten NAV
- neue Startseite vergeben
- Neustart
- neues HJT Log-File posten