Trojaner-Board - Seltsame Verzeichnisse in laufenden Prozessen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Seltsame Verzeichnisse in laufenden Prozessen (https://www.trojaner-board.de/9429-seltsame-verzeichnisse-laufenden-prozessen.html)

Seltsame Verzeichnisse in laufenden Prozessen

Hallo,

ich vermute einen Troyaner auf meinem Rechner.
Indiz sind zwei Prozesse deren Pfadangabe ungewöhnlich ist:
\??\C:\WINDOWS\system32\csrss.exe
\??\C:\WINDOWS\system32\winlogon.exe
Alle anderen Windows-Prozesse laufen unter der normalen Verzeichnisstruktur:
C:\WINDOWS\system32\...

Auf dem Rechner ist FileMaker 6.0 installiert. Neuerdings benötigt das Programm beim Start (in der Loader-Anzeige ist "Starte TCP/IP" zu sehen) sehr lange. Nachfolgend der Logfile von Hijack.

Für Tipps oder Hilfen wäre ich außerordentlich dankbar. :bussi:

Fel

Logfile of HijackThis v1.98.2
Scan saved at 15:03:10, on 10.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Winamp\winampa.exe
H:\programme\EmEditor3\EMEDTRAY.EXE
H:\programme\G-Lock Software\Advanced Administrative Tools\AAtools.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\logon.scr
H:\programme\FileMaker\FileMaker Developer 6\FileMaker Developer.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] e:\Programme\Winamp\winampa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EmEditor v3.lnk = H:\programme\EmEditor3\EMEDTRAY.EXE
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com...e/preview.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {544EB377-350A-4295-9BEB-EAB8392E09C6} (MSN Money Charting) - http://fdl.msn.com/public/investor/v13/invinstl.exe
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://term.fm-studios.de/msrdp.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C91F7F66-E9A5-4CCC-959E-DC739471BDF1}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC422301-4CC6-4B07-807C-3D0CF3A1FD38}: NameServer = 192.168.123.254

Hi fmu

Hast du einen Proxy server laufen?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

Wenn du die folgenden Programme konnst ok wenn nicht bitte fixen1

O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)

O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)

O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://term.fm-studios.de/msrdp.cab

O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB

O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

zum fixen mußt du in aen abgesicherten modus gehen und die systemwiderherstellung deaktiviren!

lad dir
escan
runter entpacke nach c:\bases dann mit kavupd updaten.

Wenn du mit dem update fertig bist gehst du in den abgesicherten modus und scannst mit escan deinen pc ( mit mwav.com starten)
wichtig!! du mußt Scan all local Drives und Scan all Files aktiviren

das ergebnis hier bitte wider posten

Hallo Zero, :party:

danke für die rasche Antwort. Rekruter-Toolbar habe ich drauf gelassen. Das ist eine Erweiterung vor Rekruter.de. Ansonsten habe ich die Anweisungen befolgt. Hier das Ergebnis des Logfiles.

Nach der Meldung des Viren-Scannner habe ich in Thunderbird nachgesehen. Das Junk-Mail-Verzeichnis in Thunderbird ist leer. :dummguck:

File C:\Dokumente und Einstellungen\felix\Anwendungsdaten\Thunderbird\Profiles\g6djl62z.default\Mail\Local Folders\Junk-Mail infected by "TrojanSpy.HTML.Bankfraud.q" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\felix\Lokale Einstellungen\Temp\SOF592.tmp infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\felix\Lokale Einstellungen\Temp\SOF5D.tmp infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{FFB720E5-045E-4D9F-B32D-5020D1EB0E7A}\RP84\A0022156.com infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken.

Der Rest der Virusmeldungen bezieht sich auf Dateien die vom Virenscanner in ein Desinfektionsverzeichnis verschoben wurden.

@fmu

lade dir clearprog von www.clearprog.de
programm starten, Verlauf, Cookies und Temporary Internet Files löschen
danach neu starten, mit HJT scannen, und hier das logfile posten

chaosman

Hallo Chaosman,

die Temps sind gelöscht. Doch was ist HJT?

OK Hijak... im abgesicherten Modus?

@fmu
HJT im normalen modus scannen, danach hier das logfile posten
chaosman

Alles klar, es ist Abend...
Logfile of HijackThis v1.98.2
Scan saved at 21:58:22, on 10.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\logon.scr
E:\hijack\HijackThis.exe
C:\WINDOWS\system32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] e:\Programme\Winamp\winampa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com...e/preview.html
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C91F7F66-E9A5-4CCC-959E-DC739471BDF1}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC422301-4CC6-4B07-807C-3D0CF3A1FD38}: NameServer = 192.168.123.254

_________________________________________

und

___________________

StartupList report, 10.11.2004, 21:56:49
StartupList version: 1.52.2
Started from : E:\hijack\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\logon.scr
E:\hijack\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ASUS Probe = C:\Program Files\ASUS\Probe\AsusProb.exe
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NVMixerTray = "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
WinampAgent = e:\Programme\Winamp\winampa.exe

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\emeditor.txt\shell\open\command

(Default) = notepad.exe %1

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
ToolHelper - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_ - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408}
(no name) - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}

--------------------------------------------------

Enumerating Download Program Files:

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeup...ntent/opuc.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\macromed\flash\flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.450 bytes
Report generated in 0,016 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

@fmu

um sicher zu gehen:
lasse diese 2 dateien (eine nach dem anderen)hier online überprüfen:
http://virusscan.jotti.org/de

C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\logon.scr
wahrscheinlich ist nix, aber...

anschließend die ergebnisse posten

chaosman

Beide Dateien sind in Ordnung:

Service load: 0% 100%

File: logonui.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.32 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.48 seconds taken)
F-Prot Antivirus No viruses found (0.18 seconds taken)
Kaspersky Anti-Virus No viruses found (0.56 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.49 seconds taken)
Norman Virus Control No viruses found (0.70 seconds taken)

_____________________________________________

Service load: 0% 100%

File: logon.scr
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.47 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.57 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.46 seconds taken)

Hallo fmu,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This, wenn Du diese Einträge nicht kennst/brauchst:

O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O3 - Toolbar: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra button: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
O9 - Extra 'Tools' menuitem: Rekruter-Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

boote in den normalen Modus.
Lösche:

C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll
C:\Programme\Softomate\Toolbar Studio\installed\{F8CC9B08-C14F-4A5C-B73B-518AFECC067A}\0\rekruter_2_43.dll

Aktiviere die Systemwiederherstellung, erstelle ein neues Hijack This Logfile und poste es.

SD