HijackThis-Auswertung!

Shadowdance

Hallo Paulisa35,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This:

C:\PROGRAMME\HOTBAR\BIN\4.3.5.0\HBINST.EXE
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} -
C:\WINDOWS\SYSTEM\WINAD2.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} -
C:\PROGRAMME\MYWEBSEARCH\BAR\2.BIN\MWSBAR.DLL
O3 - Toolbar: My &Way Speedbar - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -
C:\PROGRAMME\MYWEBSEARCH\BAR\2.BIN\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\BAR\2.BIN\MWSOEMON.EXE
O4 - HKLM\..\Run: [Hotbar] C:\PROGRAMME\HOTBAR\BIN\4.3.5.0\HBINST.EXE/Upgrade
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://ht*p://imgfarm.com/images/noc...tup1.0.0.5.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://ht*p://www2.incredimail.com/c...r/imloader.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - ht*p://webinstall.tscash.com/webinstall.cab

wie gehst Du ins Netz? Diesen Eintrag solltest Du vielleicht zur Beweissicherung auf Diskette kopieren, falls sich Deine Telefonrechnung erhöht:

(*) O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - ht*p://www.ritstele.com/clients/dialer.cab

kennst Du diesen Eintrag? Wenn Du ihn nicht kennst, bitte fixen:

(*) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ht*p://207.188.7.150/18e15d1a244d0e...RdxIE601_de.cab

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.


"Besorge Dir bitte LSP-Fix Falls Probleme mit dem Netz auftauchen kannst du das damit wieder reparieren, die O10 - Hijacked Internet access by New.Net-Einträge sollte man eher damit unschädlich machen als mit HJT", meint MountainKing. Also scanne bitte Dein System mit LSP-Fix und lass damit diese Einträge beheben:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net


"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"" [Cidre zitiert]

lösche:

HBINST.EXE
MWSOEMON.EXE
HBINST.EXE


Downloade den eScan, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"


Teile uns das Ergebnis des eScan mit: welche/wieviel Viren wurden auf Deinem System gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD