Trojaner-Board - Richfind macht mich verrückt.

Hi all,

Ich habe ein großes Problem mit IE und unbekannte Prozesse.
Startseite hat sich automatisch gewechselt, mit viele Versuche wird es nicht rückgängig gemacht.
Ich habe mein Logfile automatisch auswerten lassen, was da zu Fixen kamm habe ich gefixt und habe auch versucht die anderen unbekannten oder böse Prozessen manuel zu löschen, aber es geht nicht die sind nicht löschbar. Ich habe Ad-Aware 6.0 SE und CWShredder 2.00 helfen auch nicht weiter.
Hier ist mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 12:37:44, on 02.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\Norton Internet Secirity Professional\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\Win Comm\WinComm.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\temp\msbb.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\Program Files\Win Comm\WinLock.exe
C:\Programme\Web_Rebates\WebRebates1.exe
E:\Norton Internet Secirity Professional\ccPxySvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\NortonAntiVirus\navapsvc.exe
E:\NortonAntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Rami\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.geocities.com
R3 - URLSearchHook: Richfind - {F887D933-9825-462D-B958-AD6B4F223157} - C:\WINDOWS\System32\Q3864186.dll
R3 - URLSearchHook: Richfind - {D0A128CE-A9EF-49F8-A7B4-F04A2B90C1AE} - C:\WINDOWS\System32\Q3864186.dll
O2 - BHO: Richfind - {6F86F2B3-87D8-47A3-8BCC-181244031F1D} - C:\WINDOWS\System32\Q3864186.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: Richfind - {E1B66083-90AA-41B7-ADCF-158F749E9EDF} - C:\WINDOWS\System32\Q3864186.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 6\SnagItIEAddin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\NortonAntiVirus\NavShExt.dll
O3 - Toolbar: Richfind - {AD84E494-E1AD-44D1-8A6E-477640BBA448} - C:\WINDOWS\System32\Q3864186.dll
O3 - Toolbar: Richfind - {2F786393-F05F-482C-90D3-5B8D54467507} - C:\WINDOWS\System32\Q3864186.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Richfind - {2F786393-F05F-482C-90D3-5B8D54467507} - C:\WINDOWS\System32\Q3864186.dll
O9 - Extra button: Richfind - {AD84E494-E1AD-44D1-8A6E-477640BBA448} - C:\WINDOWS\System32\Q3864186.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...18bc5bfdd9b511
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DBED9AA-63CF-44E3-B03A-00BDCA9F26BE}: NameServer = 217.237.149.161 217.237.151.225
O18 - Filter: text/html - {F434D3B9-045C-431F-8BA9-4C92DF0CE467} - C:\WINDOWS\System32\Q3864186.dll
O18 - Filter: text/plain - {F434D3B9-045C-431F-8BA9-4C92DF0CE467} - C:\WINDOWS\System32\Q3864186.dll

___________________________________________________

Folgenden Prozesee lassen sich manuel nicht löschen:

C:\Program Files\Win Comm\WinComm.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\temp\msbb.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\Program Files\Win Comm\WinLock.exe
C:\Programme\Web_Rebates\WebRebates1.exe

.......................................

Und Folgenden Einträge kommen nach dem Fixen wieder :mad:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {F887D933-9825-462D-B958-AD6B4F223157} - C:\WINDOWS\System32\Q3864186.dll
R3 - URLSearchHook: Richfind - {D0A128CE-A9EF-49F8-A7B4-F04A2B90C1AE} - C:\WINDOWS\System32\Q3864186.dll
O2 - BHO: Richfind - {6F86F2B3-87D8-47A3-8BCC-181244031F1D} - C:\WINDOWS\System32\Q3864186.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: Richfind - {E1B66083-90AA-41B7-ADCF-158F749E9EDF} - C:\WINDOWS\System32\Q3864186.dll
O3 - Toolbar: Richfind - {AD84E494-E1AD-44D1-8A6E-477640BBA448} - C:\WINDOWS\System32\Q3864186.dll
O3 - Toolbar: Richfind - {2F786393-F05F-482C-90D3-5B8D54467507} - C:\WINDOWS\System32\Q3864186.dll
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Richfind - {2F786393-F05F-482C-90D3-5B8D54467507} - C:\WINDOWS\System32\Q3864186.dll
O9 - Extra button: Richfind - {AD84E494-E1AD-44D1-8A6E-477640BBA448} - C:\WINDOWS\System32\Q3864186.dll
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...770be35c0347aa a7de97e35f984184b8882713e02ae629a0f532041fd510e28097f5ffaa827ab856e548ba960424f3 22dfffc2345343069d70e:850e5d6333f82b2a3818bc5bfdd9b511

Was könnt ihr mir empfehlen? was soll ich machen :o

Ich bin für jede Hilfe sehr Dankbar.