Hallo zusammen,

Ich habe mir (einen?) ziemlich hartnäckigen Hijacker eingefangen, den ich nicht wider los werde. Habe es mit Ad-Aware und HijachThis versucht und auch schon per Hand (schwitz) einen Eintrag aus meiner Registry enfernt. Mit dem Ergebnis, dass der Mist jedesmal wieder auftaucht. Interessanterweise sind es auffällig oft schwedische Seiten, zu denen er mich schickt und On-line Casinos.
Habe schon versucht, im abgesicherten Modus zu putzen. Bin mir aber nicht sicher, alles zu erwischen. Anbei mein HijackThis-Logfile. Bin für jede Hilfe sehr dankbar.

Beste Grüße

Hagen

Logfile of HijackThis v1.97.7
Scan saved at 15:02:25, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\AOL 7.0\aoltray.exe
C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Programme\AOL 7.0\waol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Dokumente und Einstellungen\Hagen\Eigene Dateien\My eBooks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.146

Verwende die aktuelle Version 1.98.2 und poste ein neues Log.

Ok, hier das Log-File der Version 1.98.2
Logfile of HijackThis v1.98.2
Scan saved at 16:36:29, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 7.0\aoltray.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe
C:\Programme\AOL 7.0\waol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Kinder\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wasistwas.de/
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.145
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)


Gruß

Hagen

Bei Dir ist der schon lange (2002) erkannte Easyserv-Backdoortroj. aktiv. Er erlaubt es einem Fremden, die komplette Steurerung über Deinen Rechner zu übernehmen.
Dies bedingt, daß Du Dein System neu aufsetzt.. Bitte die Tipps von cidre genau beachten. Du bist nicht mehr Herr im Haus!
Beachte dies: Datensicherung und auch das hier
einen besseren Rat kann ich Dir hier nicht geben, leider.
Mit ein Grund wird wohl sein, daß dein System nicht gepatcht ist...
cacatoa

Ok, das klingt nicht gut. Auch wenn Ihr es vielleicht für blöd haltet, aber jetzt doch noch mal eine ganz dumme FRage: Wie groß ist die realistische Bedrohung? Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen? Sendet mein Rechner jetzt den gesamten Inhalt meiner Daten irgendwo hin?
Haltet mich bitte nicht für blöd, aber es ist das erste Mal, dass mir sowas passiert und ich will a) die Sache sicher und möglichst ohne schwerwiegende Folgen aus der Welt schaffen und b) nicht durch Panik und unüberlegtes handeln zusätzlichen (vermeidbaren) Schaden anrichten.

Gruß

Hagen

@Hagen2
Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen?
hier ist dein antwort.
When it is activated, Backdoor.Easyserv does the following:

It listens on port 5558 for a connection. Once connected, the attacker can direct Backdoor.Easyserv to activate an HTTP server that will show the directory structure of any local hard disk.

The HTTP server will allow the attacker to connect to the host machine using an Internet browser. Through the browser, the attacker can browse the host computer and download files from it.

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
wie cacatoa schon postete, system marke scheunentor...

chaosman

Hallo Chaosman,

Sorry, wenn ich Dich nerve, dass heiß, ich selbst muß mich aktiv anmelden, dann steht mein Scheunentor offen. Solange ich nicht im Netz bin, kann auch kein anderer rein. Hab ich das richtig verstanden?

In das Thema Neuaufsetzen muß ich mich erstmal einlesen, ich hab das noch nie gemacht. Von daher kann ich das nicht von jetzt auf sofort, schlicht, weil ich es noch nie gemacht habe.

Wie groß ist die Chance, dass jetzt jemand während der Eingabe etc. Passwörter und so abgreift, gespeichert habe ich die auf meinem Rechner eh nie.


Gruß

Hagen

@Hagen2
sehe es mal so, wenn du im Inet bist, kann der andere alles sehen und downloaden was sich auf dein rechner befindet.
d.h. alles, ob du denkst du hast nichts auf dein rechner, das ist deine sache.
ich möchte das nicht.

Wie groß ist die Chance, dass jetzt jemand während der Eingabe etc. Passwörter und so abgreift, gespeichert habe ich die auf meinem Rechner eh nie.
du meinst einen keylogger.

du weißt nie, was jemand anders interessiert, allein schon der misbrauch der mit deine daten getrieben werden kann, müßte eigentlich schon ausreichen umsofort dein rechner vom netz zu nehmen, und neu aufzusetzen
hier noch ein paar tips zum neu aufsetzen.
lese sie genaustens durch, am besten ausdrücken, und dich daran halten.
http://www.trojaner-board.de/showpos...28&postcount=2
falls du danach noch fragen hast, melde dich hier im board
chaosman

Hallo

habe auch Probleme mit SOUNMAN.exe und Webrebates

Hier mein bisheriger Verlauf:

Windows wurde insgesamt langsamer und sogar DVDs werden nicht mehr 100%ig abgespielt ( man merkt ab und zu leichte Verzögerungen )
Adaware und Co. sind alle drübergelaufen.
Eintrag in der Registry per Hand im abgesicherten Modus gelöscht.
Doch beide Dinger tauchen immer wieder auf.

Den Realtektreiber, der sich auch Soundman nennt habe ich auch mal gelöscht.
Neustes Windows Update ist installiert.

Gelöscht habe ich in der Reg. folgendes, so wie es hier beschrieben wurde :

http://www.ikarus-software.at/portal...door.Agobot.KH

Allerdings habe ich keinen Eintrag in HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
soundman = soundman.exe

, sondern nur in :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
soundman = soundman.exe

mwavscan zeigt mir komischerweise keienn Virus an und auch Adaware zeigt nicht den Sounman, sondern nur Webrebates.

Hier mein aktueller Log von Highj.

Logfile of HijackThis v1.97.7
Scan saved at 18:10:31, on 19.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
D:\Programme2\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\crypserv.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ranger\Desktop\Vir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=092704 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme2\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096496442453
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...8143.417650463
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD577A2-22C5-41D1-9580-7AEC3D1D62F7}: NameServer = 192.168.2.1



Den Pfad : C:\Programme\Web_Rebates\WebRebates0.exe finde ich nicht.

Da Soundman auch PW`s auslesen können soll bin ich doch etwas besorgt.
Würde mich sehr über Hilfe freuen

Gruß
Rocco

@ cacatoa, chaosman

Mir ist ehrlich gesagt nicht ganz klar, wieso ihr auf die Idee kommt, dass Hagen2 easyserv im System haben soll? Ich sehe im Log kein Anzeichen dafür und es gibt auch keinen Grund für eine Neuinstallation.

C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe

Diese Server.exe gehört ganz sicher nicht zu easyserv.

@ Hagen 2

Ich hoffe, du hast noch nicht neu installiert (obwohl es natürlich nichts schadet, wenn man das mal gemacht hat). Dein problem können wir aber IMO auch ohne Brecheisen lösen.


@ Rocco

Wie du schon gemerkt hast, muss soundman.exe nicht automatisch agobot sein, sondern er existiert auch als ganz normaler Bestandteil von Soundkarten. Und so ist es mit ziemlicher Sicherheit auch bei dir, der Registryeintrag gehört dazu:

http://www.reger24.de/prozesse/SOUNDMAN.EXE.php

ist also völlig in ordnung und muss nicht gelöscht werden, denn der Schädling müsste, wie gesagt unter RunServices laufen.
Den webrebates-Eintrag solltest du im abgesicherten Modus fixen, die exe löschen und dann noch mal ein neues Logfile mit der aktuellen version von HJT erstellen und posten.

@ MK
Grund war wohl (wenn ich es jetzt nachvollziehe) ein Hinweis in der Auto-Auswertung. Weiß das aber jetzt ehlich gesagt nicht mehr genau...

Deswegen empfehle ich die auch nie.

Besten Dank für die super schnelle Antwort !

Dann brauche ich mir um Soundman wohl keine Sorgen machen.

Leider bekomme ich Webrebates aber nicht weg.
Habe es im abges. Modus über Ausführen-> Regedit im Run Ordner gelöscht.
Aber es kommt wieder ...sozusagen eine Zombie Datei

Der Ordner :C:\Programme\Web_Rebates\WebRebates0.exe" existiert nicht und auch mit der Suchfuntion findet der Rechner keinen Ordner/ Datei mit dem Namen Webrebates



Hier der neue Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 21:28:11, on 19.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\crypserv.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
D:\Programme2\WinZip\WZQKPICK.EXE
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Ranger\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=092704 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme2\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096496442453
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD577A2-22C5-41D1-9580-7AEC3D1D62F7}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Arbeite dich mal hier durch: http://sarc.com/avcenter/venc/data/p...ebrebates.html