heretofind.de
 

Hallo Leute!
Bin neu hier - und verzweifelt.
Werde immer auf heretofind.de umgeleitet - und habe schon alles versucht, um den Spuk zu beenden: Norton Antivirus, Adaware, Spybot, Spyware Doctor, CWShredder...
Zuguterletzt auch e-scan. Der hat 17 Viren gefunden und entfernt. Und es hat wieder nichts genutzt.
Hier dann Hijack this: Habe alle Ergebnisse, die als böse gelten könnten, entfernt - die sind sofort wieder da.
Anbei das Logfile.
Ihr seid meine letzte Rettung...
Logfile of HijackThis v1.97.7
Scan saved at 21:10:15, on 21.08.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\AOL 8.0A\AOLTRAY.EXE
C:\PROGRAMME\AOL 8.0A\WAOL.EXE
C:\PROGRAMME\AOL 8.0A\SHELLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AOL 8.0A\AOLWBSPD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWARN.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=17&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=17&q=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...220.3836805556
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Lade bitte die neue Version von HiJackThis 1.98.2 und poste nochmals ein neues Log-File.
http://www.trojaner-board.de/51130-a...ijackthis.html

Hallo
es gibt schon eine neuere Version von HJT www.hijackthis.de
Diese fixen. Wenn es nicht hilft - neu formatieren.

Ok!
Und hier mit der neuesten Version!
Bin für alle Tipps extrem dankbar.

Logfile of HijackThis v1.98.2
Scan saved at 12:33:38, on 22.08.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\AOL 8.0A\AOLTRAY.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWARN.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=17&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=17&q=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

@ Trole

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=17&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=17&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=17&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=17&q=

Wechsle in den abgesicherten Modus:

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

@Cidre
Erstmal schönen Dank.

Aber ich brauche noch Hilfe: Den Ordner C:\bases habe ich nicht!? Muss ich den anlegen? Wie kopiere ich das da rein?

Hatte mir das Programm einmal schon aufs Desktop geladen und gestartet. Hatte Viren etc. gefunden und entfernt - trotzdem ist der Spuk geblieben.

Den Ordner C:\bases mußt du selbst anlegen, das heruntergeladene Archiv (mwav.exe) verschiebst du in diesen Ordner und entpackst es mittels Doppelklick. Die weitere Vorgehensweise siehe oben.

Ps.
Die zwei Log´s nicht vergessen zu posten.

Hi, habe genau dasselbe Problem wie Trole!
Mir ist noch nie sowas hartnäckiges untergekommen. Ich habe auch wie Trole die Programme Ad-aware, Spy-Bot, Stinger, Antivir und escan laufen lassen ohne Besserung. Hijack This zeigt mir die Einträge, ich kenne auch die fehlerhaften aber ein fixen bringt NICHTS. Sofort danach sind sie wieder da. :koch:
Spybot und co. erkennen die Hijacker, eine Behebung bringt auch hier nichts.
Im Moment ist es mir gelungen, heretofind und diese ominöse Startseite zu verbannen, aber fragt mich nicht wie, ich habe im wesentlichen das gemacht was Cidre geschrieben hat und im Moment zeigt Hijack This auch nichts verdächtiges an, weshalb ich mein Logfile hier jetzt auch nicht poste. Allerdings war ich gestern auch schon soweit und heute war der Mist wieder da! :koch: Katastrophe das Ding.

Dafür gibt es nur eine Lösung;):
Auf den Unsicherheits-Browser weitgehenst zu verzichten.

- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Huhu!
Das Problemt scheint behoben. Ich weiß nur nicht, warum...
Escan hat NICHTS gefunden. Trotzdem war danach und nach dem Updaten von Mircosoft die ganze Sch* weg. Erstmal. Oder? Wie schätzt ihr das Log ein? Kann ich sonst noch was tun zur Vorsorge?


Logfile of HijackThis v1.98.2
Scan saved at 16:36:28, on 22.08.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AOL 8.0A\WAOL.EXE
C:\PROGRAMME\AOL 8.0A\SHELLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\AOL 8.0A\AOLWBSPD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWARN.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

so,

ich bin auch wieder frei!

Vielen Dank den Helfern!

Meiner ist wieder da! War 2 Tage weg, jetzt werde ich wieder auf heretofind.com umgeleitet!!! :snyper:
Das kann doch einfach nicht wahr sein! Der muß doch zu entfernen sein, warum können die ganzen Programme ihn nicht beseitigen? Das kann doch nicht so schwer sein. :koch: :snyper:

Das hat nichts mit den Programmen zu tun, sondern in erster Linie damit, dass du entweder denselben Fehler, der dir das schon mal eingebrockt hat, wieder oder immer noch begehst (unsichere Programme/Einstellungen bzw. entsprechend fahrlässiges Surfverhalten) oder die Ursache eben noch nicht wirklich beseitigt wurde. Öffnest du Mailanhänge? Wie sind die Einstellungen deiner aktiven Inhalte (Active-X, Java-Script), ist dein System auf dem neuesten Stand? Poste mal ein Hijackthis-Log wie hier beschrieben, damit wir ein paar Informationen bekommen.

OK, ich bin neulich auf unseriösen Seiten gewesen, auf denen ich mich normal nicht bewege und auch nie wieder hingehe. Wiederansteckung also eigentlich gleich null. Active x ist alles aktiviert. Java script hohe Sicherheit. Veränderte ich Einstellungen konnte ich mich teilweise auf Seiten nicht mehr einloggen usw. daher ist bei Active X eigentlich alles offen.
Mittlerweile surfe ich mit Mozilla. Bei Hijackthis gibts einen Haufen verdächtige Einträge, fixen brachte wie gesagt bisher nichts, gleich danach waren sie wieder da.Die alte Version vom IE hat nichts zu sagen, als ich mir das Zeug einfing hatte ich noch den 6er, alles so auf mittlere Sicherheit eingestellt.
Ich poste hier mal die Hijackthis Log:

Logfile of HijackThis v1.98.2
Scan saved at 16:10:33, on 24.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ANVSHELL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
F:\SECURITY\ANTIVIR\AVGCTRL.EXE
F:\SECURITY\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
F:\PROGRAMME\SONY\SONYTRAY.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\MANAGER\MOZILLA\MOZILLA.EXE
F:\SECURITY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\MANAGER\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SECURITY\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "F:\SECURITY\ANTIVIR\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\SECURITY\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Image Transfer.lnk = F:\Programme\Sony\SonyTray.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mit FlashGet laden - F:\MANAGER\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - F:\MANAGER\FLASHGET\jc_all.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O9 - Extra button: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab


Bei Bedarf kann ich noch die escan Log posten, hatte wie gesagt nichts gefunden. Müßtet ihr mir nur noch mal sagen welche Logdatei, da sind min. 2. (mwav, mwXface).
Ich hatte bei Hijackthis immer die R-, sowie die O13 Positionen gelöscht. Ohne Erfolg.

Bitte lade dir alle Sicherheitsupdates und Patches von www.windowsupdate.com herunter.

Fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O9 - Extra button: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {907F6036-C3C1-4180-BADB-305BBA6144C2} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab

Bei Active-X solltest du MINDESTENS einstellen, dass du vor einer Installation gefragt wirst. Sind es denn so wichtige Seiten, auf denen du dich nicht mehr einloggen kannst? Ich würde Active-X und den IE nur fürs Windowsupdate nehmen und ansonsten die Finger davon lassen. Gibt natürlich einige spezielle Firmenseiten, wo man nur das verwenden kann/darf, vielleicht ist das ja bei dir der Fall.

@ Goldust

Du solltest die Tipps die man dir gibt, auch umsetzen, sonst wirst du in diversen Sicherheits Foren Dauergast sein.

Natürlich ist auch eine Aktualisierung des IE auf min. 6 SP1 angebracht.

@Cidre
Mal abgesehen davon, daß ich jahrelang sowas nie gehabt habe, bin ich bereits auf Mozilla umgestiegen. Das Problem befällt aber nach wie vor den AOL Browser sowie den IE.

@Christian
Danke. Updates ausgeführt. Dateien gefixed. Problem nicht gelöst, jetzt sieht die Log so aus:

Logfile of HijackThis v1.98.2
Scan saved at 19:01:38, on 24.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ANVSHELL.EXE
F:\SECURITY\ANTIVIR\AVGCTRL.EXE
F:\SECURITY\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
F:\PROGRAMME\SONY\SONYTRAY.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\MANAGER\MOZILLA\MOZILLA.EXE
F:\SECURITY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\MANAGER\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SECURITY\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "F:\SECURITY\ANTIVIR\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\SECURITY\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Image Transfer.lnk = F:\Programme\Sony\SonyTray.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mit FlashGet laden - F:\MANAGER\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - F:\MANAGER\FLASHGET\jc_all.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net


Du siehst einige sind verschwunden, die gebliebenen Einträge aber sind irgendwie nicht zu fixen. :mad:

Ok, habe die Sache nochmal im abgesicherten Modus versucht, jetzt ist das Ding ERSTMAL behoben. Könnt euch ja jetzt mal die Log reinziehen, ob sie clean aussieht. Ansonsten war ich glaube ich schonmal soweit. Ich hoffe das bleibt jetzt erstmal weg. Besuche diese Seiten nicht mehr, nehme Mozilla und habe im IE die Sache mit ActiveX geändert. Danke soweit..........

Logfile of HijackThis v1.98.2
Scan saved at 19:14:49, on 24.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ANVSHELL.EXE
F:\SECURITY\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
F:\SECURITY\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
F:\PROGRAMME\SONY\SONYTRAY.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\SECURITY\HIJACKTHIS.EXE

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\MANAGER\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SECURITY\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "F:\SECURITY\ANTIVIR\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\SECURITY\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Image Transfer.lnk = F:\Programme\Sony\SonyTray.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mit FlashGet laden - F:\MANAGER\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - F:\MANAGER\FLASHGET\jc_all.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

Ich bin am Ende meiner Kräfte...Ich könnte auf der Stelle Heulen.. :balla:
So ein verdammter :lmaa: Hijacker....
:pukeface: auf heretofind.com
*heul*
Leider verstehe ich euer Viren-Latein nicht... :confused:
Ich habe mir HJT und eScan AntiVirus runtergeladen mein Log von HJT:

Logfile of HijackThis v1.98.2
Scan saved at 20:10:07, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tria...1.0.0.3ie.cab?
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

Bitte helft mir... :balla: Was heißt fixen? :pfui:

was muss ich machen, kann sich einer erbarmen und das ganze einem Laien erklären? Ich hab alle Virenprogramme ausprobiert... :balla: nichts...NICHTS...

Hallo AntiVir,

Fixe (Haken setzen und auf Fix Checked klicken) diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tri..._1.0.0.3ie.cab?

Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und mit aktualisierten eScan scannen, neue Startseite vergeben und danach neues Log-File posten.

Wie vergebe ich eine neue Startseite? Soll ich die im SAFEBOOT vergeben, oder ist das egal?

Vergib sie im Safeboot.

wie soll ich den bei AOL eine neue Starseite vergeben? Oder im Explorer?

Also haargenau das Problem mit diesem Virus habe ich auch. Man wird immer zu heretofind.com umgeleitet und das der IE sowie der Aol Browser sind tot.

Alle Programm die hier genannt wurde oder alle Tips sind bis jetzt leider nicht hilfreich gewesen.
Das Virus erstellt sich immer wieder neu.


Ich hab allerdings rausgekriegt wie man das Internet zeitweilig wieder in gang bekommt. Dazum muß man den Ordner c:\spe löschen. In ihm befindet sich die datei start.chm. Ohne die funzt das Virus nicht. Aber der Ordner erstellt sich immer wieder neu.

Man müßte eigentlich die Datei ausfindig machen die dafür verantwortlich ist das sich der Ordner c:\spe dauernd neu erstellt. Dann müßte das Virus gekillt sein. Hat einer ne Idee wie man diese entsprechende Datei aufspüren kann?

Hallo VooVoo,

wie man sie aufspüren kann, ist ja kein Problem. Sie erscheint als Datei-Eintrag, wenn man HiJackThis laufen lässt. Du kannst sie auch mit HiJackThis fixen. Bedauerlicherweise kommt sie wieder zurück, sowie man mit dem IE ins Netz geht - zumindest entnehme ich dies Euren Antworten.

Habt Ihr den eScan - laut Anweisung - laufen lassen: http://www.trojaner-board.de/showthread.php?t=6083

Die einzige Alternative, um diese Probleme zu verhindern, wäre der Browserwechsel. Tips zu Browserwechsel, sicherem Surfen und Programmen, die den IE unterstützen, um sauber zu bleiben, findest Du/findet Ihr in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung.

SD

hallo leute!

diese wunderbare startseite hat jetzt auch meinen IE befallen. ich führe erstmal den einfachsten schritt durch und installiere mozilla, über den ich fortan ausschließlich surfen werde. ihr habt gesagt, den IE sollte man am besten nur noch zum windows update benutzen, das werd ich dann auch befolgen.

mal schauen, wie ich als computer-idiot es hinkriege, später noch diesen sch... zu entfernen!

auf jeden fall klasse, dass man hier schnell nützliche hilfe von euch bekommt! :daumenhoc

kann es sein, dass alle, die dieses problem haben, vorher sich in irgendwelchen foren rumgetrieben haben, oder anderen sites die ein login benötigen??

ich war jedenfalls gestern auf www.finya.de, www.angesagter.de und www.turbojugend-worldwide.com -- sonst nichts anderes. und als ich dann stunden später (heute nacht) wieder ins netz wollte, hatte ich bereits diesen pornosch... mk:@MSITStore:C:\spe\start.chm::/start.html# drauf. jede eingabe, wie www.google.de oder anderes führte mich dann auch automatisch zu heretofind.de... :pukeface:

ich schau erstmal weiter!

gruß denim

Hallo denim demon,

poste bitte ein logfile mit HijackThis, Link zum Download und Anweisung zum erstellen des Logfiles findest Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html . Mit HijackThis lassen sich die Einträge aufspüren und löschen.

Danke für Dein Posting.

SD

hi shadowdance!

mach mich sofort daran!

bin übrigens jetzt mit mozilla unterwegs..
:aplaus:

danke und gruß

denim

hey shadowdance,

here it is:

Logfile of HijackThis v1.98.2
Scan saved at 15:23:58, on 25.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\JUPITCO.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
D:\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMME\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\MSEXPLOREN.EXE
C:\WINDOWS\MBSYNC.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
D:\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LOGITECH\IMAGESTUDIO\LOWLIGHT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
D:\WINZIP\WINZIP32.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT READER\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

danke für deine hilfe!

gruß denim

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=

und ich glaube noch:
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

(Bitte korrigiert mich, falls falsch!)

Stare deinen PC im Safeboot (Abgesicherter Modus) und lasse eSan einmal durchlaufen (http://www.mwti.net/antivirus/free_utilities.asp), vergib eine neue Startseite und poste ein neues log.


Ach und hier noch mein Log von Gestern nach dem eSacn im Safeboot:

Logfile of HijackThis v1.98.2
Scan saved at 15:42:52, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Background Organizer PRO.lnk = C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

ICH BIN FREI... bis jetzt :balla:

dann lade ich erstmal eScan runter.

bist du dir sicher bei den anderen sachen, oder soll ich noch auf ne zweite meinung dazu warten?

sorry, nich lachen, aber wie starte ich dat ding hier im abgesicherten modus? :confused:

Hallo Ihr Lieben,

das wird ein bißchen chaotisch hier ... deswegen wollten wir eigentlich gerne, dass jeder einen eigenen Thread aufmacht ... vielleicht alle, die von diesem "heretofind.de" betroffen sind, mit einer Betreff-Zeile, die es erleichtert, diese 'Search-Sorte' eindeutig zu erkennen. Ich schlage vor Nummern zu vergeben: "heretofind.de-1" - "heretofind.de-2" usw.

----------

@ AntiVir - Du hast das Logfile von denim demon bereits bearbeitet.
Ich gebe es trotzdem nochmal in seiner zu fixenden Gesamtheit ein, das ist einfacher.

Also hier zunächst das Logfile von @ denim demon

bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#

O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=

Wenn diese Einträge nicht bekannt sind, bitte fixen! Es handelt sich um unnötige (unwirksame) Einträge, die entfernt werden können:

O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)

----------

Sind Dir folgende Prozesse bekannt?

C:\WINDOWS\SYSTEM\JUPITCO.EXE
C:\WINDOWS\MSEXPLOREN.EXE
C:\WINDOWS\MBSYNC.EXE

O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i

Sei so nett und überprüfe diese Einträge mit dem Datei-Online-Scan von Kaspersky

----------

C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE

ist Spyware. Bitte fixen und manuell löschen.


[edit] wenn Du den eScan machen willst, folge bitte der Anweisung, die Du findest, wenn Du in meiner Signatur unter "TI Hijacker-Rubrik" nachschaust. Dort findest Du auch einen Link, wie Du in den abgesicherten Modus kommst. [/edit]

[edit]ich habe ein Eintrag übesehen, der gefixt werden muss:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html [/edit]

Lieben Gruss
SD

und nochmals besten dank!!

ich werd mich mal eben da durchwurschteln!! wird schon klappen..

grüße
denim

kaspersky sagt:

Zu überprüfende Datei: JupitCo.exe
JupitCo.exe Ok

Statistiken:
Bekannte Viren: 97330 Updated: 25-08-2004
Größe der Datei (Kb): 29 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0
-----------------------------------------------------
Zu überprüfende Datei: msexploren.exe
msexploren.exe - packed with PE-Pack
msexploren.exe Ok

Statistiken:
Bekannte Viren: 97330 Updated: 25-08-2004
Größe der Datei (Kb): 20 Viren-Korpus: 0
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0
-----------------------------------------------------
Zu überprüfende Datei: mbsync.exe
mbsync.exe - packed with PE-Pack
mbsync.exe Ok

Statistiken:
Bekannte Viren: 97330 Updated: 25-08-2004
Größe der Datei (Kb): 20 Viren-Korpus: 0
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0
-----------------------------------------------------
versuche die anderen drei jetz zu finden und lass sie durchchecken..

und hier die Bearbeitung des Logfiles von AntiVir

unbekannter Prozess bitte mit dem Datei-Online-Scan von Kaspersky prüfen:

C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe


Wenn Du diese Seite nicht kennst, sollte sie gefixt werden:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/


Wenn Du IP's oder die Domänen nicht kennst, bitte fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146


Wenn Du weiter frei bleiben willst und wirklich sicher surfen willst, empfehle ich Dir einen Browserwechsel, siehe dazu die Hinweise in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung. Desweiteren ist es wichtig das Betriebssystem und alle Programme auf dem aktuellen Stand zu halten, das heisst alle Patches und Updates aufzuspielen. Nähere Angaben dazu findest Du ebenfalls in den Hinweisen in meiner Signatur.

Lieben Gruss
SD

sorry, aber wie gesagt: computer-idiot!

finde die dinger nicht:
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i

???

hey sd!

habe jetzt alles gefixt, was du gesagt hattest.. nur C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE bekomme ich nicht gelöscht..

werd den kasten jetzt erstmal im abgesicherten modus hochfahren und den eScan machen..

lieben gruß
denim

@ denim demon

bist Du noch im HiJackThis-Programm? Ich meine hast Du es noch aufstehen, auf Deinem Computer? Was heisst, Du findest diese Einträge nicht:

O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i

Ich habe nachgeschaut, sie sind in Deinem Logfile vorhanden, also solltest Du sie eigentlich finden. Du musst ja nur ein Häkchen setzen und sie fixen. Aber wenn Dir das nicht gelingt, dann erstelle einfach nochmal ein neues Logfile und poste es hier. HiJackThis hast Du Dir ja runtergeladen.

Paff, ein Fachmann auf dem Gebiet der Internet-Sicherheit empfiehlt in einem anderen Thread hier an Board alle Dateien mit HiJackThis im abgesicherten Modus zu fixen. Mach das bitte. Vielleicht ist es Dir dann auch möglich diesen Eintrag zu löschen: C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE

Aber vielleicht läßt Du erstmal den eScan im abgesicherten Modus offline laufen, das dauert ein Weilchen, ca 1 Stunde. Hast Du den eScan in c:\bases kopiert und online geupdatet? Das ist wichtig!

Bitte auf jeden Fall nach dem eScan eine weiteres Logfile erstellen.

SD

@ sd

konnte die drei dateien bloß nicht durch den kaspersky scan durchjagen.

werd jetzt mal deine vorigen anweisungen durchführen und meld mich nachher wieder mit dem logfile.

danke schön!

denim

@ denim demon

um sie online bei Kaspersky zu scannen, musst Du sie anders eingeben:

C:\WINDOWS\ssvr.exe /i
C:\WINDOWS\msexploren.exe /i
C:\WINDOWS\mbsync.exe /i

denk bitte dran, der eScan MUSS offline und im abgesicherten Modus durchgeführt werden. Lass uns bitte nachher wissen, welche Dateien beim eScan gelöscht bzw. umbenannt wurden.

SD

da bin ich wieder..

hab erstmal den eScan durchgeführt, 3 viren gefunden, werd nochmal durchlaufen lassen, da ich nicht mehr sicher bin, ob ich die viren vernichtet hab, oder nur die logfile angelegt hab.
oder was meinst du??

C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE konnte ich im abgesicherten modus löschen!!!

habe dann hiJackthis gestartet und
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i
gelöscht!

O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i war auf einmal nicht auffindbar... (???)

wie von dir befohlen alles im abgesicherten modus durchgeführt.


hier nochmal die logfile vom hiJackthis:

Logfile of HijackThis v1.98.2
Scan saved at 19:37:08, on 25.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT READER\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

Ich glaub ich hab den Virus gekillt. Bin zwar nicht 100 Prozent sicher aber sehr optimistisch.
Ok ich sag euch mal am besten wie ich es gemacht habe.
Ich hab als Betriebssystem übrigens Windows 2000 Pro Servicepack 2.

Bevor ihr weiter lesen tut, noch ein kleiner Tipp für die die nicht so viel PC Erfahrung haben. Öffnet mal ein Windowsfenster und klickt auf Extras/Ordneroptionen/Ansicht. Dann in dem weißen Auswahlfenster auf die Option: alle Datein anzeigen (bei versteckte Datein und Ordner). Und den Haken raus bei der Option Dateinamenerweiterung von bekannten Dateitypen ausblenden.

Ok, zur eigentlichen Sache: (Zwischen der ganzen nun folgenden Opperation bitte keinen Neustart machen)

Zuerst besorgt ihr euch alle die folgenden Programme und installiert diese erst alle: (erst scannen oder updaten wenn die alle installiert sind)

- Mozilla Firefox (erstmal als Browser damit die Internetverbindung gesichert ist)
- HiJackThis.exe
- eScan <-- nach c:\bases entpacken, danach zuerst die c:\bases\kavupd.exe starten zum updaten, und dann erst das Progamm über die c:\bases\mwavscan.com starten und jetzt alles scannen
- Spybot <-- einfach installieren und starten und dann scannen. Nach dem Scan das Systm noch zusätzlich immunisieren.
- irgendeine Firewall

Also, die Programme sind nun installiert:

1. Zuerst startet ihr HiJackThis.exe und scannt euer System.
Alle verdächtigen Einträge die auf irgendwelche heretofind.com Links deuten entfernt ihr. Zusätich entfernt ihr alle Einträge die etwas mit BUTTON, MENUITEM, ITEM, TOOLS, TOOLBAR etc. zu tun haben. Außerdem entfernt ihr alle Einträge die die Worte REAL oder COREL beinhalten und alle Einträge wo nichts hinter steht oder NO FILE.
Die 04 Einträge sollten eigentlich sauber sein auch wenn sie vielleicht verdächtig aussehen. Der Virus scheint keine der mit HiJackThis angezeigten exe Dateien zu nutzen.

2. Wenn ihr die Einträge mit HiJackThis gefixt habt, dann geht ihr auf eure Festplatte auf Laufwerk C:\
Schaut nach ob ihr einen Ordner C:\spe\ habt. Den könnt ihr sofort löschen. Löscht ihn auch gleich aus dem Papierkorb.

3. Nun das Programm eScan durchlaufen lassen. (update müßt ihr vorher gemacht haben) Denkt daran im Programm einzustellen das es euer gesammtes System scannt inklusive Registry.

4. Jetzt Spybot starten und auch scannen. Alle gefundenen Viren etc. löschen.
4.1. Mit Spybot das System immunisieren. Da gibts so nen extra Funktion in dem Programm.

5. Jetzt öffnet ihr die mit dem Befehl regedit (Start/ausführen/regedit)die Registry.
Sucht hier nach folgenden Begriffen: - p2pnetwork und adm20.adm20 oder adm45.adm45 oder änlichen seltsamen adm Werten. Wenn ihr solche Schlüssel oder Werte in der Registry findet könnt ihr die löschen. Es kann sein das die neu erzeugt werden. Da bin ich mir nicht ganz sicher. Trotzdem zu Sicherheit löschen.

6. Jetzt sucht ihr nach auf eurem Computer nach einer Datei die in etwa so heißt oder änlich benannt ist:

_unin_ .exe

Und die auch löschen.

7. Alle Ordner auf eurem Computer, die Temp, Verlauf, Cookies, Anwendungsdaten oder ähnliches haben müßt ihr manuell säubern. Ebenso alle Cookies und Offline Dateien löschen usw.
Viel Spaß beim suchen ^^
Denn Papierkorb immer sofort lehren.

8. Für AOL User: Die Datei WAOL.exe löschen. Ich glaube die wird infiziert. Die AOL ordner manuell von eurem System löschen. Nicht über deinstallieren. Speichert euch eure Favoriten vorher irgendwo ab. Auch hier wieder sofort den Papierkorb lehren.

9. AOL einfach neu installieren. Macht ne Benutzerdefinierte installation. Ihr müßt aufpassen das AOL die Software ins Verzeichnes C:\Programme\AOL 9.0 installiert und nicht vielleicht in ... AOL 9.0a

10. Das müßte es gewesen sein. Es kann eventuell sein das Komponenten des Virus zurückbleiben, aber der Virus sollte dennoch funktionsuntüchtig sein.


Na ja ich hoffe ich konnte damit helfen.


PS: Mit eurer Firewall solltet ihr den IE einfach abwürgen.

Hallo
Das ist eine richtige Einstellung.
Es ist schon sehr beunruhigend. D.h. - du hast keinen SP4 und darauffolgenden Updates. Dein PC ist somit höchst unsicher.
Sorry für gekürzte Quote. Es gibt auch die Alternativ-Windows-Browser, z.B. www.IdosWin.de, wo dieses Problem gar nicht vorhanden ist.
ROFL. Seit wann denn sichert einen Browser die Internet-Verbindung?
AFAIK bedarf dieses Programm gar keine Installation.
Die Anletung zum eScan konntest du verlinken.
so, so...
Wozu? Kannst du sagen - welche Firewall findest du am besten um warum?
Um jemanden zu belehren muss man mindestens selbst ein bissle Ahnung von der Sache haben. Weil du dein System selbst superunsicher betreibst, tue bitte lieber etwas Gescheiteres, als solche sinnfreie Postings hier zu produzieren.

Geht´s noch?

Ich versuche hier nen paar Leuten nen paar Tipps zu geben. Falls du es noch nicht bemerkt haben solltest, wir wollen alle das Virus loswerden.

Ich hab keine Ahnung ob meine Lösung die Richtige ist. Zumindest ist mein Virus weg. Es wird sicher einige Leute geben die dankbar für ein paar neue Lösungsansätze sind.
Wenn dir das nicht paßt ist das dein Problem.
Du kannst ja gerne was anderes vorschlagen. Aber spar dir bitte irgendwelche Klugscheißersprüche!

@ VooVoo

erstmal herzlichen Dank für Deine Mitarbeit beim aufspüren und entfernen dieses lästigen Browser Hijacking durch heretofind. Ich bin gespannt, was unsere Spezialisten dazu sagen.

Die von Dir angegebenen Tools sind alle in meiner Signatur unter "TI Hijacker Rubrik" zu finden, unter ---> Vorbeugung, ---> Entfernung. Bitte auch die ---> Hintergrundinformationen und die ---> diversen Fachartikel beachten.

----------

Nun zur Auswertung des letzten Logfiles von Dir @ denim demon

bitte im abgesicherten Modus offline fixen:

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/

Prüfen ob Du diese Seite kennst und ggf. fixen:
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab


Denk bitte dran, dass HijackThis in einem eigenen Ordner laufen muss.
Nur so können Backups erstellt werden!

C:\PROGRAMME\HIJACKTHIS.EXE

Damit müsste Dein System clean sein @ denim demon.

Lieben Gruss
SD

hello again shadowdance!

hab's so durchgeführt, wie du empfiehlst. hiJackThis hatte ich sogar genauso abgelegt :aplaus:

was soll ich sagen, die kiste läuft bestens! vielen dank sd und an alle anderen!!

frage: wohin soll ich den kasten pils schicken?? :party:

lieben gruß
denim

@ denim demon

bitte freihaus an Lutz und die Trojaner-Info.de

:lach:

SD

alles klar!! :D

aber echt, hätte den pc heute wohl aus dem fenster geworfen, wenn ihr nicht geholfen hättet!

gute nacht! .... und wer weiss, vielleicht bis bald!

denim grüßt!

Klar.
Einen Virus/Trojaner sicher und für immer loszuwerden geht nur über format c:\ Lektüre zum Thema
Das ist höchst unmstritten, genauso wie deine Lösung. Du bekommst jetz keine Meldung von deinem Virenscanner, aber es heißt noch nicht, dass du keinen Virus hast.
Die Leute , die deinen laienhaften ratschlägen folgen würden, verlieren nur die Zeit und schleudern die Viren und Würme ins Internet.
Ich habe keine Probleme mit Viren und nie gehabt.
Habe ich, und zwar dir persönlich - Bringe zuerst dein System zum aktuellen Sicherheitsstand, danach darfst du hier die Rede halten.

@Rene
Ich glaube man konnte das alles auch anders sagen.
Hier versucht ein User einen anderen zu helfen.
Ich finde es gut, wenn ehemalige Geschädigte anderen Usern helfen möchten.
Auch wenn die Tipps jetzt nicht zum hundertprotzentigen Erfolg geführt hätten.

@ Rene-Gad



Ist dir überhaupt schon mal in den Sinn gekommen das nicht jeder der nen Computer besitzt gleich Bock hat mit der Kiste ne intime Beziehung einzugehen?
Du solltest dich mal bißchen weniger mit Binärcodes beschäftigen. Such dir doch mal ne nette Freundin. Die bringt dich auf andere Gedanken und dann haste auch nicht mehr das Verlangen jeden der sich weniger intensiv mit Computern befassen tut gleich dumm anzumachen.


:p

@VooVoo
Ist dir überhaupt schon mal in den Sinn gekommen das nicht jeder der ein Auto fährt gleich Bock hat , die StVO zu folgen? Wenn aber jeder fahren würde, wie es ihm verständlich und gemütlich ist, dann lasse ich lieber mein Auto stehen und komme nicht von Zuhause aus.
Überlasse bitte mir die Entscheidung, womit und wieviel ich mich beschäftigen soll. Übrigens: Ich verstehe davon absolut nichts. Computer ist nur meine Freizeitbeschäftigung.
Mit diesem Satz, sowie mit allen deinen Postings hast du lediglich das Roesen's Law bestätigt.

Hallo Ihr beiden Kampfhähnchen ....

hört Ihr irgendwann wieder auf damit Euch zu verkloppen?

@ Rene-gad ... VooVoo war so freundlich mitzudenken und hat das Gleiche versucht, was wir hier auch tun: anderen Usern helfen. Du wirst es vielleicht nicht glauben, aber der Prozess des Denkens funktioniert unabhängig vom Betriebssystem des Computers.

@ VooVoo ... ich verstehe, dass Du beleidigt bist. Eigentlich wollte Rene-Gad Dich nur darauf aufmerksam machen, dass Deine Tips leider nicht die Wirkung haben, die Du Dir erwünscht. Das Browser-Hijacking läßt sich damit leider nicht verhindern. Es ist nur ein momentaner Erfolg.

Unter Computer-Fachleuten gilt, dass das eigene Betriebssystem perfekt geupdatet, gepatched und gewartet sein muss, wenn man mitreden möchte :o ... so ist das nun mal ;)

... ich finde, Ihr könntet Euch wieder vertragen !

*meint SD und grüßt*

Tja, wollte mich nochmal melden und für die Hilfe bedanken.
Dieser Jacker ist wohl außer Gefecht.
Glaube mein Erfolg kam im wesentlichen durch folgende Aktionen:

- Windows Updates runtergeladen
- abgesicherter Modus ein, escan gestartet
- Hijackthis gestartet und eure angegebenen Einträge gefixt (heretofind, Corel Monitor, no file....)
- Neustart

Das war glaube ich das Wesentliche. Genau weiß ich es natürlich nicht. So oder so ähnlich hatte ich es bereits 2 Tage vorher gemacht, da kam er wieder. Hoffe er bleibt jetzt weg. Reste von diesem Mistding werden sicherlich noch irgendwo stecken, aber wer hat schon Bock auf format c:?
Ach, ja, früher ging das formatieren und co. viel schneller.
Danke nochmal.....................

Goldust

Hallo
Hast du versucht, ihn persönlich anzusprechen ;) ?
Nur diejenigen, die sicher auf die Nummer gehen wollen.
Wann "früher"? Meinst du in den Zeiten von MS-DOS? Ich frage es ganz ernst. AFAIK wenn du WinXP neu aufsetzst, dauert es etwa 30-40 Min. Zum Vergleich - wieviel Zeit hast du hier im Board verbracht, um die Plage "einigermaßen" in Griff zu bekommen? ;).

@ shadowdance

Keine Sorge, ich hatte eh nicht vor noch weiter auf Rene-Gad einzugehen.

Mich stinkt blos seine Art an. Das meine Lösung nicht hundertprozentig ist weiß ich selber. Aber immerhin ist das Virus weg. Und darauf kommt es ja erstmal an.
Denn mit nem Virus auf dem Rechner, der das Internet lahm legt, läßt sich auch schlecht ein Windows- oder Sicherheitsupdate machen.



>>>Unter Computer-Fachleuten gilt, dass das eigene Betriebssystem perfekt geupdatet, gepatched und gewartet sein muss, wenn man mitreden möchte ... so ist das nun mal

Ich dachte eigentlich dieses Board sei für alle Hilfesuchende ^^

Nix gegen dich jetzt. Aber, ich kenne aber auch die Gesichter einiger sogenannter Computerfachleute wenn dann in das perfekt geupdatete, gepatchte und gewartete System doch ein Virus hineingelangt ist. ;)
Ein intelligenter Mann sagte einmal: "Das letzte was der Wissenschaftler sagt bevor die Welt untergeht: "Das ist technisch gar nicht möglich!""
Nix gegen Computerfachleute, aber selbst überschätzen sollten sie sich nicht. Immerhin tippen die Computerfachleute auf der selben Tastatur wie es auch der Laie tut.

Außerdem wie kommt ihr beide darauf das mein System nicht geupdatet ist? Die Tatsache das ich Service Pack 2 angegeben habe heißt noch lange nicht das ich keine weiteren Sicherheitsprogramme drauf habe oder aktuelle Sicherheitsupdates. Selbst wenn man sein System gegen alle bekannten Viren immun machen könnte, beim ersten neu entwickelten Virus währen dann alle Sicherheitsupdates umsonst gewesen.

Hallo
Es gibt keine Halblösungen in PC-Security,genauso kann keine Frau nur ein bisschen schwanger sein. Mir ist eingentlich wurscht , was du von mir hältst, ich möchte einfach nicht, von deinem Recher mit Würmer beschoßen zu werden. Wer so was gerne will, kann sich mit "nicht hundertprozentigen" Security-Lösungen begnügen.
Ich gebe dir recht. Aber: Eine infektion vorzubeugen ist viel leichter, als zu bekämpfen.
Es ist so. Mehr dazu : http://faq.underflow.de/#SECTION00040000000000000000
Gegen Dummheit schützen keine Service Packs und Antiviren.
Es ist ein Irrtum: ServicePacks und Patches schützen weder von Viren noch von Trojaner. Die dienen zum Schlißen von Sicherheitslücken- die theoretisch vorhandenen Möglichkeiten, das System von außen anzugreifen. Dafür kann auch die handelsübliche Software, wie PCAnyware, benutzt werden. Die Hacker können über die offenen (von unnötig laufenden Diensten) Ports einen beliebigen PC lahm legen oder einfach durch die FP stöbern. Um den Portschutz, wie z.B. von dir empfohlene Desktop-Firewall ;), auszuschalten, werden auch die Trojanischen Pferde verwendet. Die brinden einen Schädling in der schönen Kleidung an den User, der auf alles Buntes klickt und an sein Antivirus-Programm und PFW heilig glaubt. Beim Starten schaltet so ein Gast in erster Reihe PFW und AV ab....
Na ja, du weißt schon selbst, was danach passiert.
Fazit: Aktueller SP ist ein bloßes Muss und die Installation dessen unterliegt keiner weiteren Diskussion.

?

Also das Betriebssystem in 30-40 min. Und sämtliche andere Programme fliegen alleine drauf? :balla:

Vielleicht sind ja die sämtlichen anderen Programme an vielen Problemen schuld und du kannst es dir eh ersparen ......

Hallo
Wir reden von der Neuinstallation vom Betribessystem. Wenn du deine Anwendungsprogramme auf einer anderen Partition bzw. Festplatte installierst, laufen die u.U. auch problemlos mit dem neuen System. Die dazu nicht gehören, musst du neu installieren - klar. Aber du bist nicht verpflichtet, alles auf einen Abend zu planen . Installiere vorerst das Notwendigste , dann, im Laufe ser Zeit wirst du sehen, ob *Christian* recht hat ;).

Das habe ich schonmal probiert. Nix ging. Ging in die Hose. Nichts wurde erkannt und alles mußte neu drauf. Hätte ich die Registry gespeichert hätte es vielleicht geklappt, doch wenn die verseucht ist und voller unnützer Einträge?

Es geht doch über Anwendungen über Treiber bis zu Schutzprogrammen und Codecs. Dazu die Datensicherung vorher. Hört mir auf. :crazy:

Hi
Ich habe ganz ehrlich gesagt: u.U. ;).
Davon ausgehend kann man beschließen: es ist viel leichter, die Infektion vorzubeugen, als zu bekämpfen.

Tötet www.heretofind.com
 

Hallo Leute,

auch ich bin von der Pest befallen und werde sie nicht mehr los. Die Thematik ist ja schon hinlänglich beschrieben worden.

Das was mich dabei interessiert ist die Tatsache, dass es sich hier nicht um einen pathogenen Kleinorganismus handelt, sondern schlíchtweg um ein von Menschen geschriebenes Programm. Welche Absicht mag der Programmierer verfolgen, und habt ihr schonmal darüber nachgedacht, zurückzuschlagen?

Ein kurzes Beispiel. Die Domain "heretofind.com" gehört einem Vasiliy Sedikh aus Moskau. Ich hätte sogar eben die Telefonnummer parat: Tel. +709.53177901. Nur mal ne dumme Frage, ich kenne mich wirklich nicht damit aus. Was wäre denn, wenn sich alle geschädigten zusammenschließen und via Floodping den Server lahmlegen? Diese Nukeprogramme gibts überall, die können locker im Hintergrund laufen und fressen keine Ressourcen. Wenn sich nur genügend Leute zusammenschließen... Hat jemand Erfahrungen damit?


Viele Grüße

Manche Dinge sollte man einfach sein lassen, dazu gehört das Floodpingen, weil ein Übel mit einem anderen totzuschlagen, sollte man tunlichst unterlassen.
So ein Schuß kann plötzlich nach Hinten los gehen. :schrei:

Was deine "Pest" betrifft, bitte ich Dich Dein HJT log mal in einem neuen Thread zu posten, so das wir es uns mal anschauen können.

Gruß
Andy

Kill www.heretofind.com
 

Hi Andy,

was spricht dagegen? Ich sehe das als eine Form Quit-Pro-Quo. Wenn diese Typen sich anmaßen, mich in meinem Surfverhalten absichtlich zu stören, oder schlimmer, mich auf eine unehrliche Weise auf irgendwelche Seiten umzuleiten, damit ich kostenpflichtige Dienste wahrnehme, die ich nicht will, dann scheint mir das legitim. Also: Abschuss. Oder hast du Angst vor dem Igor mit der Sonnenbrille, der dann an deiner Haustür klingelt? Was soll passieren?

Gruß

Was dagegen spricht? Es ist illegal, völlig sinnlos und reproduziert genau das Verhalten derjenigen, die solche Programme in die Welt setzen. Anstatt Igor aus Moskau virtuell abzuschiessen, sollte man die Zeit lieber in eine sinnvolle Absicherung des Systems investieren. Ob die Infektion tatsächlich unehrlich erfolgte, ist nämlich noch eine andere Frage, durchaus möglich, dass du dir das Ganze selbst installiert hast.

Genau mein Reden, ich gehe stark davon aus, dass ein Großteil hier sich selber eine feder an den Hut stecken kann, da er/sie sich selber solche HiJacker eingefangen hat.
Außerdem sind solche Sachen illegal, wie Du sie hier vorschlägst, vor Igor aus Moskau habe ich weniger Angst als vor der eigenen Dummheit und Einfältigkeit der Menschen selber. Mit anderen Worten, wir selber sind oft daran schuld dass was in unserem Leben schief läuft (ob es nun ein eingefangener Trojaner oder ähnliches sei), nur es liegt in unserer Natur einen Schuldigen zu finden und den Frust auf diese Person zu projezieren.
Merksatz : Auf jede Aktion, folgt eine Reaktion. - Denk mal darüber nach.

Gruß
Andy :juul:

Hallo Leute,
kann mir jemand mit HIjackthis helfen. Blick des nämlich net so :heulen:
hab das selbe problem wie die anderen in den untern Einträgen.
Wenn ich mit Hijackthis scanne lautet mein logfile wie folgt ( was mach ich dann damit?):

Logfile of HijackThis v1.98.2
Scan saved at 15:01:50, on 10.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\PROGRA~1\ZONELA~2\ZONEAL~1\zlclient.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Dokumente und Einstellungen\steffenburgbacher\Desktop\Sicherheitssoftware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=3&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=3&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~2\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {5B05C8F1-FEB2-49AB-BC3F-E5F0AA526F40} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {5B05C8F1-FEB2-49AB-BC3F-E5F0AA526F40} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console - {5B05C8F1-FEB2-49AB-BC3F-E5F0AA526F40} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {5B05C8F1-FEB2-49AB-BC3F-E5F0AA526F40} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=3&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=3&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=3&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=3&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=3&q=
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {10000030-1000-0000-1000-000000000000} - its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=3302::/x.exe
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1111.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094728773968
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 195.182.110.132 62.134.11.4
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O19 - User stylesheet: (file missing)