Wininet und Runwin
 

Hallo ich bin neu hier. Ich kampfe seit Monaten mit einem Worm der einie merkwürdige Khaos mit meiner PC macht. Er heisst Wininet32.exe und Runwin32.exe Diese Bestia ist in my System eingedrungen und weder ich mit Spysweeper noch mit Adaware 6.0 killen möchte kommt zurück und macht easy-search.com meine Startseite, ladt Sexdialer program on my system.
Oh my God. Please Help Me Somebody !!!

Miklos aus Ungarn

Falsches Unterforum!

Poste trotzdem mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Hier ist die Liste von Hijackthis v1.98.2:

C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
E:\Maya 6.0\docs\Wrapper.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
E:\Maya 6.0\docs\jre\bin\java.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\VirusBuster\Bin\VBSNTW.exe
C:\Program Files\IE Opera\IEOpera.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\runwin32.exe
E:\install\Anti Trojan\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=geo
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=geo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095433728031

Scanne mal hiermit: http://www.trojaner-board.de/showthread.php?t=6083

Was wird gefunden?

Erstelle und poste anschließend ein neues Log von HijackThis.

@ nicola

Es handelt sich um den Troj/ESearch-A. Informationen findest du hier:
http://www.sophos.de/virusinfo/analy...jesearcha.html

Folge der Anweisung von *Christian* und poste bitte die Virus Log Information des eScan mit.

Ps.
Der Scan sollte im abgesicherten Modus stattfinden.