Trojaner-Board - neu? outHost.info

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - neu? outHost.info (https://www.trojaner-board.de/6744-neu-outhost-info.html)

neu? outHost.info

Hi!
Habe trotz aller Scans + Fixes einen Trojaner, den ich nicht wegbekomme.
Meine "neue" Startseite heißt jetzt http://aspcod.outHost.info/
und zeigt keinen Quelltext (unter "Ansicht" im IE) sondern öffnet mir wenn ich "Quelltext" klicke einen neuen IE, der mir wenn ich OFFline bin den URL zeigt:
http://213.159.118.226/tinstall.php?owner=freesearch
und wenn ich ONline bin und selbiges tue, mich zu diversen Cash Sites bringt.
Weiß wer, womit ich dies wegbringe?
(Ging nicht mit:
Spybot, AdAware, HijackThis, SpHjfix, CWshredder)
Vielen Dank
Carl Kaye

Hast du fixen schon mal im Abgesicherten Modus versucht? Poste doch mal bitte ein Log von Hijackthis.

Poste mal das HijackThis-Log!

PS: (Am Anfang??? Naja - warum nicht): Mein Text ist zu lang. Werde ihn 2 oder 3mal eingeben müssen. Los gehts.

Hi!
Weiter unten ist das Log von HijackThis.
Die Startseite, die Ihr oben seht ist MEINE.
Nach Erstellung des Logs habe ich mal wieder OFFline auf MEINER geöffneten Startseite auf Ansicht – Quelltext gedrückt. Als Resultat ging wieder ein neuer IE auf, mit dem URL:
http://aspcod.outHost.info/
Wenn ich bei dem auf Quelltext drücke, kommt der nächste IE, diesmal mit dem URL
http://213.159.118.226/tinstall.php?owner=freesearch
Wenn ich bei dem wieder den Quelltext drücke, erscheint von nun an immer wieder
http://213.159.118.226/tinstall.php?owner=freesearch
Beim Schließen aller IEs und erneuten Öffnen der Startseite, ist MEINE weg, und der Hijacker da.
Nun habe ich wieder einen neuen HijackThis scan gemacht, das ZWEITE LOG ist nun das, wo Ihr die „neue“ Homepage seht.
Ich kann eliminieren so viel ich will, bei jedem „Quelltext“ ist der Hijacker wieder da.
Ich glaube, er verwendet seinen eigenen IE, und nicht meinen ?!?!?

So – nun habe ich wieder MEINE Startseite installiert (Internetoptionen…..), Cookies etc gelöscht, Browser geschlossen…
Beim Öffnen des IE erscheint wieder wie es sich gehört MEINE Startseite.
Das DRITTE LOG ist nun das nach dieser erfolgten Aktion.
Wie nett – MEINE Startseite ist wieder da.
…….BIS……..ich wieder den QUELLTEXT öffne. So – Spiel wieder von vorne…..
Genügt es?
Was meint Ihr dazu?
Vielen Dank für Euer Bemühen
Carl Kaye

ERSTES LOG:
Logfile of HijackThis v1.98.1
Scan saved at 21:09:54, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\KeybCtrl\SYKCA290.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\PROGRA~1\KeybCtrl\KBOSDCtl.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\KeybCtrl\MxrCtrl.EXE
C:\Programme\Lexmark 3100 Series\lxbrcmon.exe
C:\PROGRA~1\KeybCtrl\CDRomMnt.EXE
C:\PROGRA~1\KeybCtrl\SYKeyCnt.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Outlook Express\msimn.exe
E:\Eigene Dateien\TOOLS\up-download\ADS VERNICHTER\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Eigene%20Dateien/Webpages/Startseite/startseite.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1ADC325C-C04B-7596-875E-6D550DAE7F4A} - C:\WINDOWS\System32\hsqwif.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KeybCtrl] C:\PROGRA~1\KeybCtrl\SYKCA290.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Evidence Eliminator] C:\Programme\Evidence Eliminator\ee.exe /m
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /waitstart
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28c39734...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E19FFBC5-3F85-4D58-B467-57104600082D}: NameServer = 192.168.120.252,192.168.120.253

Teil2

ZWEITES LOG:
Logfile of HijackThis v1.98.1
Scan saved at 21:20:08, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\KeybCtrl\SYKCA290.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\PROGRA~1\KeybCtrl\KBOSDCtl.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\KeybCtrl\MxrCtrl.EXE
C:\Programme\Lexmark 3100 Series\lxbrcmon.exe
C:\PROGRA~1\KeybCtrl\CDRomMnt.EXE
C:\PROGRA~1\KeybCtrl\SYKeyCnt.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Eigene Dateien\TOOLS\up-download\ADS VERNICHTER\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aspcod.out%48ost.info/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1ADC325C-C04B-7596-875E-6D550DAE7F4A} - C:\WINDOWS\System32\hsqwif.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KeybCtrl] C:\PROGRA~1\KeybCtrl\SYKCA290.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Evidence Eliminator] C:\Programme\Evidence Eliminator\ee.exe /m
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /waitstart
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28c39734...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E19FFBC5-3F85-4D58-B467-57104600082D}: NameServer = 192.168.120.252,192.168.120.253

Teil 3

DRITTES LOG:
Logfile of HijackThis v1.98.1
Scan saved at 21:26:47, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\KeybCtrl\SYKCA290.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\PROGRA~1\KeybCtrl\KBOSDCtl.EXE
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\KeybCtrl\MxrCtrl.EXE
C:\Programme\Lexmark 3100 Series\lxbrcmon.exe
C:\PROGRA~1\KeybCtrl\CDRomMnt.EXE
C:\PROGRA~1\KeybCtrl\SYKeyCnt.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\notepad.exe
E:\Eigene Dateien\TOOLS\up-download\ADS VERNICHTER\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Eigene%20Dateien/Webpages/Startseite/startseite.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1ADC325C-C04B-7596-875E-6D550DAE7F4A} - C:\WINDOWS\System32\hsqwif.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KeybCtrl] C:\PROGRA~1\KeybCtrl\SYKCA290.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Evidence Eliminator] C:\Programme\Evidence Eliminator\ee.exe /m
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /waitstart
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28c39734...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E19FFBC5-3F85-4D58-B467-57104600082D}: NameServer = 192.168.120.252,192.168.120.253

Das letzte Log:

Fixen:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1ADC325C-C04B-7596-875E-6D550DAE7F4A} - C:\WINDOWS\System32\hsqwif.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

Hast du keinen AV-Scanner installiert? www.free-av.de ist kostenlos!

Schutz vor solchen Browserentführungen: Verwende einen anderen Browser! www.firefox-browser.de ist schnell, sicher und kostenlos.

Hi!
Ich beginne langsam etwas zu verzweifeln!!!
Was ist letzt los???
Ich habe die guten Ratschläge befolgt und die 3 Einträge gelöscht.
Weiters habe ich den empfohlen free-av scanner installiert. Bei 5 Durchläufen hat er sehr fleißig jede Menge Trojaner gelöscht (1.x 12, 2.x 26, 3.x 4, 4.x 0 !!, 5.x 2) mir aber jede Menge Überraschungen bereitet:
Beim Anklicken des Buttons "Report" (oder so ähnlich) am Ende des Scans erschien NIE ein Report, aber jedesmal die Hijack Startseite
http://213.159.118.226/tinstall.php?owner=freesearch
Als ich beim 4.mal spaßhalber mal das ganze ONline versuchte, erschienen gleich 5 IEs mit Cashsites.
Jetzt kommt der Hit:
Ich wollte Euch nun mein neues HijackThis Log zeigen, um wieder Rat einzuholen, aberdas Programm ist von meinem Computer verschwunden!!!!!!!
Nur der leere Ordner vom Downloaden ist noch da, aber auch ohne Programm.
Und wenn ich den öffne, macht er ganz kurz auf so dass ich sehen kann, was drinnen ist, dann schließt er sich gleich wieder von selbst!!!
Meine alten gespeicherten Logfiles sind auch weg.

Mein CWshredder ist übrigens auch weg, der sogar samt dem Ordner!!!
Und als ich zu diesem Forum über meine Favoriten Seiten wollte, waren die Hälfte der Seiten auch weg (meine Links mit Virenschutzprogrammen etc, alle anderen Links sind da)

So - jetzt lade ich mir halt die Programme wieder runter - bin gespannt was passiert.
Hat jemand eine Lösung?
Danke
Carl Kaye

Es wird immer seltsamer.
Beim Runterfahren und Neustarten waren alle Ordner, Dateien und Programme wieder da, aber gerade wie ich einen neuen Scan machen wollte, war alles wieder weg.
Dieses Spiel gelingt mir jetzt regelmäßig.
Runterfahren, Starten - alles da. 30 Sekunden warten - alles wieder weg.
Wie soll ich da je ein Log bekommen????
Wer hat eine Idee?
Danke Carl Kaye

Vermutlich ist weitere Malware auf deinen System:

Mach mal einen Scan im abgesicherten Modus hiermit:
http://www.trojaner-board.de/showthread.php?t=6083