http://xysearch.biz/?wmid=1010 - wird man das wieder los?
 

Hi@all,

leider hab ich mir sowas wie einene Trojaner oder Virus eingefangen, seit einiger Zeit wird mir sobald ich den Browser IE öffne eine andere Seite als meine Startseite angezeigt. Ich hab hier schon von einem anderen Teilnehmer des Forums gelesen er habe ähnliche Probleme, leider blieben die dort erwähnen ratschläge wirkungslos. Hoffentlich kann mir jemand helfen.

Hier die Logs vom Hijack This und escan:



Logfile of HijackThis v1.97.7
Scan saved at 10:44:14, on 23.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TGBRFV_.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Markus\Desktop\mwav.exe
C:\DOKUME~1\Markus\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Markus\LOKALE~1\Temp\kavss.exe
C:\Dokumente und Einstellungen\Markus\Desktop\Irgendwas\KillBox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Markus\Desktop\Irgendwas\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = medpharm.yeungnam.ac.kr:8000
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O4 - HKLM\..\Run: [Rscmpt] C:\WINDOWS\System32\Rscmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [xor] C:\WINDOWS\System32\x0r\svshost.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Toub] C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\eedc.exe
O4 - HKLM\..\RunOnce: [LUSETUP-LT] C:\PROGRA~1\Symantec\LIVEUP~1\LUSETU~1.EXE -s -a -q -log
O4 - Global Startup: IDETool.lnk = C:\Program Files\IDETOOL\IDETOOL.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: A925 Connection Manager.lnk = ?
O4 - Global Startup: A925 Task Scheduler.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {22FEFF72-BEED-34C0-E256-580C1EBA7379} - http://63.219.178.91/1/rdgAT990.exe
O16 - DPF: {3DDB352C-1912-5A53-0DE7-488F10FDA2B9} - http://63.219.178.91/1/rdgAT990.exe
O16 - DPF: {4218E5DC-FFA6-0BE2-63AB-40697D3BF2ED} - http://63.219.178.91/1/rdgAT990.exe
O16 - DPF: {46544155-98B0-6603-0C94-36BB135DEF9F} - http://63.219.178.91/1/rdgAT990.exe
O16 - DPF: {4DE45CC0-9BF0-136C-B8F4-016B46F30C4F} - http://specific911.com/aff/msits.exe
O16 - DPF: {518740B6-964C-66DF-BD16-3F2A0F98465B} - http://63.219.178.91/1/rdgAT990.exe
O16 - DPF: {74B379FB-0AB8-7A33-35F7-0D181B265724} - http://63.219.178.91/1/rdgAT990.exe
O16 - DPF: {9DBAFCCF-592F-101B-85CE-00608CEC297B} - http://specific911.net/aff/1.0.0.8.cab
O16 - DPF: {BE9B2B7C-6680-44E6-9F51-05384AD9C2FF} (MapConnect Control) - http://eu.mywayfinder.com/MapConnect.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB9D65A1-DF3E-4621-891B-0DEBDE16166C}: NameServer = 192.168.0.2,195.58.160.2

escan log find ich im Moment net.

Kann mir bitte jemand sagen was ich zu tun bzw. zu löschen habe?

mfg

PP

@ powerpool

Logfile of HijackThis v1.97.7 - ist eine veraltete Version. Bitte lade die aktuelle Version runter, erstelle ein neues Hijack This Logfile (v1.98.2) und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD