Trojaner-Board - Unerwünschte Restarts ...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Unerwünschte Restarts ... (https://www.trojaner-board.de/11221-unerwuenschte-restarts.html)

Unerwünschte Restarts ...

Hallo!
Wie schon in der Überschrift steht, restartet mein Rechner manchmal einfach so von selbst. Außerdem kommt es auch vor, dass sich gelegentlich Seiten mit dem IE einfach so aufbauen wenn ich online bin.
Meine Frage : Kann mir vielleicht jemand helfen diese Probleme zu beseitigen?

Habe WinXP +updates benutze AntVir, Spybot und hijackthis allerdings erziehle ich damit keine Erfolge..
Mfg Brogas

Hier trotzdem mal di Hijackthisauswertung :
Logfile of HijackThis v1.99.0
Scan saved at 04:07:25, on 26.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\iPod\bin\iPodSrv.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
E:\Programme\iPod\Bin\iPodWatcher.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ\Icq.exe
E:\Games\Valve\Steam\Steam.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Jonas\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 65.37.95.85:80
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iPodWatcher] E:\Programme\iPod\\Bin\iPodWatcher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] E:\Programme\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097085044546
O17 - HKLM\System\CCS\Services\Tcpip\..\{741F6397-5F20-4387-84DF-1AC8FB5A57A3}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{B06282B7-37BF-45C6-857F-7A4946589913}: NameServer = 194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0882808-A6DE-4148-A862-9D0162E8D8FB}: NameServer = 194.25.2.129,194.25.2.130
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPodSrv - Unknown - E:\Programme\iPod\bin\iPodSrv.exe

@Brogas
in dein logfile sehe ich nichts,
lade dir escan download
lese der anleitung
führe es genauso durch
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Hoffe habe jetzt das richtige gemacht, hier die Virus Log Information :

File C:\WINDOWS\system32\kjdsl1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\180axhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\iconw.exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\localNRD.dll infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\praxis.exe infected by "Trojan-Clicker.Win32.Agent.ah" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\6vo4svc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\angelex.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\appsys.exe infected by "TrojanDownloader.Win32.Delf.au" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ayi2edxx.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\c4002edmgh0a2.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cepbk32.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cpmpatUI.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\dn4u01h9e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\dsscript.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl3.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul2.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul3.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\f00o0ad3ed0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\f82m0if1e82.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fpr8039ue.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\gp26l3fs1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\gpj6l31s1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\h40q0ed5eh0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\hr6s05j7e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\hr8205loe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ifeshare.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\javexulm.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\jcpl400.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\k6pmlg7116.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\kjdsl1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\LBWPG11N.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\lc_xtrans.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\LEPSD11N.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\LJRAS11N.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\m864lijq18oe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mgastmib.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\MHPDOX35.DLL infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\MJPDOX35.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mpdart.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mqexdlm.srg infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mscb.dll infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msdev.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\muc40u.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mv26l9fs1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mwrdim.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\myrt.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\n2p40c7qef.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\n84s0ih7e84.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nhtfxperf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nvms.dll infected by "not-a-virus:AdWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\psis80ex.ax infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\srndmail.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\szftpub.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\t0r80a9ued.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\bb.exe infected by "not-a-virus:AdWare.BargainBuddy.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\conscorr.cab infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\ist_install.exe infected by "TrojanDownloader.Win32.IstBar.cy" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\lesbogirls.exe tagged as not-a-virus:Porn-Dialer.Win32.WebDialer. No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\SBM3SXUH\cax[1].cab tagged as not-a-virus:Porn-Dialer.Win32.OnlineDialer. No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\THI44FD.tmp\multimpp.cab infected by "not-a-virus:AdWare.BiSpy.s" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\THI44FD.tmp\multimpp.dll infected by "not-a-virus:AdWare.BiSpy.s" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\THI44FD.tmp\preInMPP.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\THIFE8.tmp\localNrd.cab infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\THIFE8.tmp\localNRD.dll infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\THIFE8.tmp\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\UCmoreIEx.exe infected by "not-a-virus:AdWare.ToolBar.Ucmore" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\WToolsB.dll infected by "not-a-virus:AdWare.Wintol.p" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\Temp\_zu3x.rlg infected by "Trojan.Win32.Happyday" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\TEMPOR~1\Content.IE5\8PORCBS7\msits[1].exe infected by "Trojan-Downloader.Win32.WinShow.ao" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\TEMPOR~1\Content.IE5\C9STYVWT\bridge-c7[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\JULIAN~1\LOKALE~1\TEMPOR~1\Content.IE5\C9STYVWT\frodo[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\TEMPOR~1\Content.IE5\C9STYVWT\x[1].chm infected by "TrojanDownloader.Win32.WinShow.am" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\TEMPOR~1\Content.IE5\MDG7MDQ1\index1[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\TEMPOR~1\Content.IE5\MDG7MDQ1\ysb_regular[1].cab infected by "Trojan-Downloader.Win32.IstBar.gk" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\JULIAN~1\LOKALE~1\TEMPOR~1\Content.IE5\Q32BMT6B\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.

Lösche nun die von eScan gemeldeten Funde manuell. Eventuell musst du dies noch einstellen:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Für die Temp und Temporary Internet Files Ordner verwendest du Clearprog

Konnte alles löschen, bis auf :
File C:\WINDOWS\system32\joproxy.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\joproxy.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Der Zugriff der Datei wird verweigert.

Danke schonmal für die Hilfe! Mfg Brogas

Zitat:

Der Zugriff der Datei wird verweigert.

Hast du schon versucht die Dateien im abgesicherten Modus zu löschen?

Hat geklappt, danke. eScan findet nun nichts mehr. Hab seitdem auch keine unkontrollierten Restarts mehr gehabt.
Danke, Brogas
Es treten leider trotzdem immernoch manchmal popups auf auch wenn ich nicht surfe...

@Brogas
poste ein neues HJT logfile
chaosman

Hier neues HJT Log...
Die 01er gehen irgendwie nicht weg , wenn ich sie fixe sind sie beim nächsten mal wieder da.

Logfile of HijackThis v1.99.0
Scan saved at 02:40:49, on 28.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\iPod\bin\iPodSrv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
E:\Programme\iPod\Bin\iPodWatcher.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
E:\Games\Valve\Steam\Steam.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Jonas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 65.37.95.85:80
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iPodWatcher] E:\Programme\iPod\\Bin\iPodWatcher.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] E:\Programme\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097085044546
O17 - HKLM\System\CCS\Services\Tcpip\..\{741F6397-5F20-4387-84DF-1AC8FB5A57A3}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{B06282B7-37BF-45C6-857F-7A4946589913}: NameServer = 194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0882808-A6DE-4148-A862-9D0162E8D8FB}: NameServer = 194.25.2.129,194.25.2.130
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPodSrv - Unknown - E:\Programme\iPod\bin\iPodSrv.exe

Fixe dies mit HijackThis:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

wird ihm nichts bringen -> kommt immer wieder. hab den gleichen hijacker bei mir drauf. im abgesicherten modus mit deaktivierter systemwiederherstellung mit escan alle gefundenen programme gelöscht, temp. internetdateien gelöscht, mit hijackthis die ip-einträge gelöscht -> neustart. sobald die internetverbindung wieder erstellt ist sind die einträge wieder in der registrierung drin.

p.s. hab gerade festgestellt, dass die rundll32.exe und winlogon.exe (!) mit der ip ständig verbinden wollen. hab sie dann mal mit firewall geblockt, und in hijackthis die einträge nochmal gefixt. seitdem bleiben sie dauerhaft weg (wobei die verbindungsversuche der beiden dateien andauern).

@ Brogas & d00d

Probiert es zusätzlich mal mit der Vorgehensweise von Marc und haltet uns bei jedem Schritt auf dem Laufenden.

Hab alles nach der Anleitung von Marc gemacht und hatte seitdem keine Probleme mehr. Danke! Falls sich was neues ergibt werde ich euch das mitteilen...
Mfg Brogas