gestern was bei google gesucht und schon wieder hab ich mir was eingefangen.
könnte mir bitte nochmal jemand sagen, was ich alles zu löschen habe?

vielen Dank.

---
Logfile of HijackThis v1.97.7
Scan saved at 13:05:13, on 18.02.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\MSREXE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\TMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/advanced_search?hl=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/advanced_search?hl=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/advanced_search?hl=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMM\BüRO\ACROBAT\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\Scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [System Service] C:\WINDOWS\SYSTEM\MSREXE.EXE
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...?37803.9065625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Privates
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1

Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von plastikherz:
gestern was bei google gesucht und schon wieder hab ich mir was eingefangen.</font>[/QUOTE]Woraus schließt du das? Worin genau äußern sich die Probleme (bitte trotz meiner im Weiteren noch folgenden Ausführungen auf diese Frage eigehen! [img]smile.gif[/img] )


Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Dein System befindet sich in einem "uralten", vollkommen ungepatchten Zustand. Das solltest du (in deinem eigenen Interesse) dringend (!) nachholen:

http://windowsupdate.microsoft.com

Vorrangig muss jedoch das Folgende geprüft werden:


Bitte prüfe diese Datei:
C:\WINDOWS\SYSTEM\MSREXE.EXE

hier:
http://www.kaspersky.com/de/remoteviruschk.html

</font><blockquote>Zitat:</font><hr />
gestern was bei google gesucht und schon wieder hab ich mir was eingefangen.
</font>[/QUOTE]...wo kommt diese Schlussfolgerung her?

PS: Hallo Markus ;) .
PPS: http://www.liutilities.com/products/...ibrary/msrexe/ - ein WinProzess, ist aber von Subseven-Befall gefährdet.

[ 18. Februar 2004, 13:36: Beitrag editiert von: Rene-gad ]

ich kann nicht mehr antworten?!?!??

hab mein ursprüngliches posting erstmal gelöscht, weil ich es nicht setzen "kann"...weder ein link drin noch sonst was, nur was geschriebenes. egal was ich schreib, ich bekomm immer diese info:

Das folgende HTML-Tag ist nicht erlaubt: COOKIE

wenn dieses posting jetzt ersichtlich ist, kenn ich mich nimmer aus!?!?

edit: komisch, das geschreibsel sieht man!

</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:
PS: Hallo Markus ;) .</font>[/QUOTE]Hallo Rene! ;)

Apropos Schlussfolgerungen:
http://www.sophos.de/virusinfo/analy...jbdooraml.html

Hatte ich noch vergessen...

Okey, dann probiere ich es nocheinmal.

@ plastikherz:

schliese den browser = rückkehr zum desktop(screen). dann leerst du mal den (vielleicht schon zugemüllten) TEMPORDNER, anschliesend den papierkorb leeren, die temp.internetfiles LÖSCHEN, incl. offlineinhalte, cookies raus, verlauf leeren...PC neustarten.

dann mal unnötig im hintergrund milaufende proggies beenden, und mit deinem virenscanner einen fullscan (alle dateien)machen. eventuell ad aware oder spybot search/destroy wenn vorhanden nachträglcih verwenden!

dann mal wieder melden...

bye
tony

Hallo tony,
ich würde doch dem mmk's Rat folgen: die Datei kann u.U. ein Backdoor sein, alles anderes ist AFAIK sauber.
PS: Den Müll zu löschen ist trotzdem immer gut [img]smile.gif[/img]

ich hatte ja vor kurzem auch schon diesen "ntsearch-Trojaner" und habe ihn mir ziemlich sicher auch über google eingefangen.
beide Male hatte ich einen Songtext gesucht und beim öffnen der gesuchten Seite, öffnete sich auch ein ntsearch.com Fenster.
danach war ich infiziert.
so meine Folgerung. [img]smile.gif[/img]

vielen Dank an alle für eure Hilfe!

klar,...mmk's tip...hab ich nicht ganz mitbekommen....hab zuerst troubles gehabt überhaupt zu posten, und hab den link mit der vireninfo von sophos und die win-seite nciht überissen...sorry.

tony