Search Extender / Assistent ...
 

Hi

hab wie viele Leute hier die 3 Programme

Home Search Assistent
Search Extender
Shopping Wizard

auf dem PC ich hab mir HijackThis 1.97.7 runtergeladen, hier das Ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 14:39:27, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\apilu.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
D:\Programme\Tweak-XP\Tweak-xp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\msub.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nusxu.dll/sp.html#31693
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A72F96DF-A4F3-57A8-1C3A-8C57E40658C5} - C:\WINDOWS\system32\winfi.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [atlsq.exe] C:\WINDOWS\system32\atlsq.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [msub.exe] C:\WINDOWS\msub.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\Philip\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

kann mir jemand mal drunter posten welche einträge gefixt werden müssen?
schon mal danke

Hallo

lad dir mal die neust hijackthis version runter

www.hijackthis.de

Und dann bitte ein neues log erstellen und hier posten

du solltest deinen pc updaten (SP2)

ich hab folgenden scan ausgewertet und die entsprechenden prozesse gefixt aber diese kehren immer wieder sobald ich den Internet Explorer starte:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R3 - Default URLSearchHook is missing

Hier der Scann:

Logfile of HijackThis v1.98.2
Scan saved at 12:43:29, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\apilu.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\atlsq.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
c:\programme\internet explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nusxu.dll/sp.html#31693
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A72F96DF-A4F3-57A8-1C3A-8C57E40658C5} - C:\WINDOWS\system32\winfi.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [atlsq.exe] C:\WINDOWS\system32\atlsq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Hast du auch im abgesicherten modus bei deaktivierter systemwiderherstellung gefixt?
sonnst geht es nicht.

Dies hier fixen und die exe manuell löschen

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

Diese dateien bitte auf http://virusscan.jotti.org/de auf maleware prüfen lassen und das ergebnis hier wieder posten

C:\WINDOWS\apilu.exe
C:\WINDOWS\system32\atlsq.exe
O2 - BHO: (no name) - {A72F96DF-A4F3-57A8-1C3A-8C57E40658C5} - C:\WINDOWS\system32\winfi.dll
O4 - HKLM\..\Run: [atlsq.exe] C:\WINDOWS\system32\atlsq.exe

Die eintrage auch fixen die sind Böse:

R3 - Default URLSearchHook is missing

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nusxu.dll/sp.html#31693

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nusxu.dll/sp.html#31693

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nusxu.dll/sp.html#31693

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nusxu.dll/sp.html#31693

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -



Das ganze mußt du im abgesicheten modus fixen ,bei deaktivirter systemwiderherstellung!

Und du solltest dein system updaten (sp2)
den IE solltest du nur noch für Windows update Verwenden.
Nimm lieber Mozilla Firefox oder Opera wobei ich zu firefox raten würde(geschmacksache)

wenn du das gemacht hast poste ein akktuelles log

So jetzt habe ich das SP2 draufgemacht und die entsprechenden Prozesse bei deativierter Systemwiederherstllung als Administrator im abgesicherten Modus gefixt. Jetzt ist das Problem, sonbald man den IE startet kehren alle Prozesse wieder.

Hier der Scann genau wieder jeder andere:

Logfile of HijackThis v1.98.2
Scan saved at 18:42:29, on 13.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\apilu.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\crao32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liima.dll/sp.html#31693
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\liima.dll/sp.html#31693
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A81BCC5D-44D8-3E61-02BF-B9E0BABCEBCC} - C:\WINDOWS\winkc32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [crao32.exe] C:\WINDOWS\crao32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100261408921
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Nochmal:

Lösche diese Dateien im abg. Modus:

C:\WINDOWS\winkc32.dll
C:\WINDOWS\crao32.exe


Fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liima.dll/sp.html#31693
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liima.dll/sp.html#31693
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\liima.dll/sp.html#31693
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A81BCC5D-44D8-3E61-02BF-B9E0BABCEBCC} - C:\WINDOWS\winkc32.dll
O4 - HKLM\..\Run: [crao32.exe] C:\WINDOWS\crao32.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)


Scanne anschl. mit eScan im abg. Modus.

Schütze dich mit einem anderen Browser: www.firefox-browser.de ist sicher und kostenlos.

also liegt das nur am IE das die immer wieder aufauchen.

Für Browser Hijacking ist der IE geradezu prädestiniert, weil falsche/fehlende Konfiguration ( ActiveX usw.) und dieser Browser gegenüber anderen mehr bzw. erheblichere Sicherheitslücken aufweist. Ebenso wird der IE weiterhin von den meisten I-net User verwendet und stellt somit eine 1A Angriffsfläche zur Verfügung.

Wie bereits von *Christian* gepostet, ist es auch wichtig, dass die Malware Dateien gelöscht werden und nicht nur die Reg Keys aus dem Autostart entfernt werden.
Diese Datei solltest du ebenso löschen:
C:\WINDOWS\liima.dll

Danach IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html

Ich hab im abg. Modus mit E-Scan geescannt und folgende Datein sind infiziert. Woher bekomme ich am besten eine Vollversion von E-Scan um diese zu löschen?

File C:\WINDOWS\apilu.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addrh32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addug32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\apicl.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\apilu.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\appku.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\applm32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\atlmp32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\crao32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\crdg32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\crza32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\javase32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\liima.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mfczy32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msub.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ntaw32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\nusxu.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winte.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\addav.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\apiax.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\apims32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\atlsq.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\crfc.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\crwc.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fxmbw.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ienj32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ieui32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\javayn32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msaj.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\netlm32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ntqg.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdkue.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysqw32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winfi.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wingz32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winhn32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winmo.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winwu.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.

Einfach die Dateien im abgesicherten Modus bei deaktivierter Systemwiederherstellung von Hand löschen und danach nochmal nen neues Hijackthis Logfile posten.

Diese sind scheinbar nicht in der Windows Datei, auf jeden Fall kann man sie nicht sehen:


Neues Logfile

Hallo Demian,

Nur weil Du die Dateien nicht siehst, heisst es nicht, dass sie nicht vorhanden sind. Mach mal Folgendes: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren, in die Windows Suche übertragen -> löschen! (Cidre zitiert)

und überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\apilu.exe
C:\WINDOWS\iemr.exe

Ergebnis?

SD

hab das gemacht und fast alle gelöscht :)

diese beiden hier kann ich immer noch nicht im windows ordner sehen:

apilu.exe und iemr.exe waren beide infiziert.

@ Demian,

gib "iemr.exe.bak" und "nusxu.dll" in die Windows Suche und lösche sie dann.

Womit? Gib das Ergebnis bitte rein.

SD

@ SD

Siehe ;)

So jetzt sind alle infizierten weg :D
vielen vielen dank an alle die geholfen haben :)

Kann ich jetzt die softwareeinräge manuell löschen?

weil jetzt kommen diese seiten wenn man bei den betreffenden programmen auf ändern/entfernen klick:

Search Assistent
Search Extender
Shopping Wizard

aber ich trau denen nicht

Deinstalliere diese Prgramme im abgesicherten Modus und lösche auch die dazugehörigen Ordner. Entweder unter C:\Programme oder C:\Progam Files.

Erstelle danach nochmal ein aktuelles Log-File.

mit den programmen die auf den 3 homepages zum download angeboten werden?

Nein, um Gottes Willen.
Im abgesicherten Modus sollten sich alle Programme problemlos entfernen lassen.

Niemals zweifelhafte Uninstaller von einer mit malwarebehafteten Seite verwenden.

ich wollte nur nochmal nachfragen hätte es wahrscheinlich eh nicht gemacht :)

Danke für die Sehhilfe @ Cidre :daumenhoc

SD