Trojaner-Board - about:blank?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - about:blank? (https://www.trojaner-board.de/2301-about-blank.html)

also ich hab folgendes problem:
auf irgendeiner seite hab ich mir einen trojaner gezogen, der mich jetzt ständig auf die startseite linklist.cc lenkt. hatte mir daraufhin cwshredder geholt und durchlaufen lassen, er hat das ding auch gelöscht und alles war wieder im lot - allerdings, wenn ich jetzt den inetexplorer starte lande ich schon wieder auf der seite und im browser wird nur noch about:blank angezeigt. :confused:
wenn ich cwshredder wiederlaufen lasse löscht er auch wieder etwas, aber wenn ich dann den explorer wieder starte bin ich genauso weit wie vorher. einfach die startseite zu ändern bringt auch nichts, er übernimmt es einmal, danach ists es wieder about:blank... (die seite ist trotzdem die von linklist.cc, die ich vorher auch hatte)
nebenbei gesagt, ich hab davon absolut keine ahnung, wenn in einem andren thread schon so etwas vorkam, hab ichs wohl übersehen [img]graemlins/balla.gif[/img]
ich hoffe mal, hier weiß jemand etwas damit anzufangen... :rolleyes:

Hallo und Willkommen an Board.
Dein Fall ist hier gut ausgeschildert: hxxp://w3studi.informatik.uni-stuttgart.de/~schrotrf/mpdshfaq/mpdshfaq.html#SECTION000120000000000000000

erst mal danke für die schnelle antwort!
allerdings.. wie ich zuvor erwähnte bin ich blutiger anfänger mit solchen sachen und verstehe jetzt größtenteils nur bahnhof, bzw. ich seh nich richtig was genau ich zu tun hab (sorry! :( )... soll ich mir jetzt ein patch runterladen, wenn ja welches... und was genau hab ich da jetzt eigentlich, nen wurm, nen trojaner..? (entschuldigung, ich stell mich vermutlich etwas dämlich an.. :confused: )

@ BlackWolf - Welcome on Board [img]smile.gif[/img]

<blockquote>Zitat:<hr />entschuldigung, ich stell mich vermutlich etwas dämlich an.. [/QUOTE]Jeder hat mal angefangen :rolleyes:

Frage : Hast du überhaupt schon mal Patches gezogen ?
Auf JEDENFALL die notwendigen Patches ziehen !!

Hijack This auch empfehlenswert

Welche Windows Version hast du ?
Welches Anti Viren Programm ?

Solltest mal über ein Browserwechsel nachdenken !

<a href="http://www.firebird-browser.de/" target="_blank">Firefox
</a>
Opera

[ 07. April 2004, 13:12: Beitrag editiert von: Nangie ]

danke für die antwort, nangie [img]smile.gif[/img]
ich hab hier xp drauf, aber irgendwie hab ich das gefühl, das ich hier keine anti virus programm hab... ich bin mit sowas nur mal durch ntsearch in berührung gekommen, war demnach leichtsinnig... :(
an patches die ich mir gezogen hab kann ich mich nicht erinnern, glaube nicht, dass ich das schon gemacht hab... wo bekomm ich denn die her, die ich brauch?
hijack this hab ich eben durchlaufen lassen, ich kopier die laufenden prozesse jetzt einfach mal hier rein in der hoffnung, dass man da vielleicht was findet... (beim logfile will er irgendeinen html-code nicht :confused: )

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Kazaa\kazaa.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\DownloadWare\dw.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\WebDrive\wdservice.exe
C:\WINDOWS\DitExp.exe
C:\Programme\MLH\launcher.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\WebDrive\webdrive.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Orbit\update.exe
C:\Programme\n-CASE\msbb.exe
C:\Programme\Orbit\view.exe
C:\WINDOWS\System32\SWMonitor.exe
C:\Programme\ICQPlus\vplus.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis1977\HijackThis.exe

[ 07. April 2004, 13:55: Beitrag editiert von: BlackWolf ]

Bei der Auswertung von HijackThis kann ich dir leider nicht helfen - aber keine Bange,die Experten können das prima -

Die Patches findest du HIER und dann `Updates suchen`anklicken - solltest du so schnell wie möglich machen !!
Wird sicher etwas Zeit in Anspruch nehmen.

Hier ist ein Online Scan

Ein Antiviren Programm solltest du auch so schnell wie möglich installieren !

Ich z.B. habe NOD32 und a² drauf und bin damit sehr zufrieden - beides gibt es auch als Test Version

Da fehlen leider sehr entscheidende Teile, bitte nocheinmal versuchen zur Not (aber bitte nur zur Not da dann sehr klein) über CODE einfügen
(unten bei UBB-Codes: in der rechten Buttonspalte, mittig)

C:\Programme\MLH\launcher.exe schaut schon mal nicht gut aus! (Spyware)
C:\Programme\DownloadWare\dw.exe Brauchst Du dass?

C:\Programme\Orbit\update.exe
C:\Programme\Orbit\view.exe

Ob das was gutes ist? Glaube jetzt mal eher nicht

Fixe mal die Eintrage in HiJackThis (auch den Downloader, wenn Du ihn nicht als gutes Programm kennst und nutzt)

Lasse mal AdAware und Spybot S&D laufen, Quelle siehe meine Signatur.
Downloaden, installieren, updaten, durchlaufen lassen

Vor dem nächsten HighJackThis Log bitte alle(!) nicht benötigten Fenster und Programme schließen.

[ 07. April 2004, 15:10: Beitrag editiert von: Shadow ]

okay, vielen dank für die links etc...
hab die angegebenen dateien gelöscht, ist aber immer noch da... hier noch mal der log...
Logfile of HijackThis v1.97.7
Scan saved at 15:53:45, on 07.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Kazaa\kazaa.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\DitExp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\WebDrive\webdrive.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Orbit\update.exe
C:\Programme\Orbit\view.exe
C:\WINDOWS\System32\SWMonitor.exe
C:\Programme\WebDrive\wdservice.exe
C:\Programme\ICQPlus\vplus.exe
C:\WINDOWS\System32\cidaemon.exe
C:\hijackthis1977\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

<blockquote>Code:<hr /><pre style="font-size:x-small; font-family: monospace;"> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://de.rd.companion.yahoo.com/slv/ycheck/as/*hxxp://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: OESearchHook Class - {341FB59F-3507-443b-8147-423B4E3B2B15} - C:\Programme\Gemeinsame Dateien\OE\search.dll
O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1311.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {702AD576-FDDB-4d0f-9811-A43252064684} - C:\Programme\Gemeinsame Dateien\OE\toolbar.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll
O2 - BHO: (no name) - {D48F2E28-68E2-4920-9848-D6E6C7AB3EB7} - C:\Programme\Gemeinsame Dateien\OE\redirector.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll
O3 - Toolbar: &Search Toolbar - {702AD576-FDDB-4d0f-9811-A43252064684} - C:\Programme\Gemeinsame Dateien\OE\toolbar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v2\se.EXE" /U
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\WebDrive\webdrive.exe /trayicon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msbb] C:\Programme\n-CASE\msbb.exe
O4 - HKCU\..\Run: [SWUpdateMonitor] C:\WINDOWS\System32\SWMonitor.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Sidesearch (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.medion.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/222bd7c2536d411e1c15/netzip/RdxIE601_de.cab
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - hxxp://secure.goodthinxx.com/(tsffwrzshji3wc45t3jyiznj)/secureweb/securewebgt.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - hxxp://kit.carpediem.fr/20429/Italie/ParisVoyeur.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38084.2094097222
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://a532.g.akamai.net/7/532/6712/2.0.0.33/player.virtools.com/downloads/player/Install2.0/Installer.exe
O16 - DPF: {D7B3E460-9968-4191-BD6F-BEED1BC18482} (Loader Class) - hxxp://www.orbitexplorer.com/OELoader.cab
O16 - DPF: {DBAE7000-01EC-4162-8FEB-8A27AC937CA0} (HDPluginCtrl Class) - hxxp://webpdp.gator.com/4/download/hdplugin_1015_bundle43v2d12.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.stardialer.de/StarInstall.ocx
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - hxxp://www.whenusearch.com/WUInstSEWC.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - hxxp://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6DAC41-2198-4C12-A59E-EB7230E4A73E}: NameServer = 192.168.1.1
</pre>[/QUOTE]oh gott dieses orbit zeug ist ja schon wieder da...

[ 07. April 2004, 16:20: Beitrag editiert von: BlackWolf ]

Versuch mal den OnlineScan ---> hier klicken
*********************************************

NOD32 Testversion ---> hier klicken
Nach dem Installieren bitte SOFORT updaten !

a² Free ---> hier klicken
Nach dem Installieren bitte SOFORT updaten !

@ Board-Admins:
Habt Ihr Euch so einen "Code" eigentlich schon mal mit der "echten" (Hardware)Auflösung (1280*1024) an einem 18/19" TFT-Display angeschaut? [img]graemlins/heulen.gif[/img]

na gut unter dem Microscop erkenne ich kurz vor der Erblindung erstmal:
alle R1 und R0 fixen!
R3 auch weg.
Du benutzt zwar wohl einen DSL-Router aber weg damit:
16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
(ein DIALER stört nur mit DSL, verursacht aber keine direkten Kosten)

auch alle andere o16 würde ich fixen, falls Du das was brauchst (Yahoo) kannst es ja ausnehmen.
Der MS-Eintrag würde (wie auch alle anderen) beim ersten bewussten Neuaufruf wieder angelegt aber wennDu diesen O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x8.... nicht fixed ist es natürlich okay.

O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v2\se.EXE" /U Kenst Du das näher? ohne Google-recherche würdei ch mal sage, ab in die Tonne.

Alles mit Promulgate / Delfin fixen! ist Adware

Und warum schließt Du nicht ALLEn Müll, auch aus dem Systray, es würde für UNS übersichtlicher (und allgemein würde es Deiner Kiste auch nicht schaden. Wer braucht schon den real-Player-Scheduler, nagut LKazaa und den Medoin-Sch*** brauche ICH auch nicht :D

Also bitte:
schließe alle Programme und Fenster
Schau im Systray (bei der Uhr unten rechts normal) und schließe per rechte Maus alles außer Netzwerk, und kontrolliere dabei auch gleich was das Zeug ist und was Du da wirklich IMMER benötigst.

[ 07. April 2004, 17:16: Beitrag editiert von: Shadow ]

sorry, ansonsten wollte er das partou nicht posten... ;)
also... erst mal hat a² zwei malwares von meinem pc gelöscht... den ganzen kram mit o16, o4 etc. hab ich gelöscht, hat sich auch verzogen - aber mit den r1 un r0 dingern hab ich nen problem.. ich hab alle anwedungen beendet bis auf netzwerk eben und hab es gelöscht. aber als ich dann wieder alles gestartet hab und ins internet ging um nachzusehehn obs ging ist da jetzt schon wieder linklist - und r1 un r0 sind wieder da...
hab ich wieder irgendwas falsch gemacht? *hüstel* (viieeeelen dank für die geduld, vielen dank! ;) )

nein, du hast nichts falsch gemacht, es wird "einfach" bei dir bei jedem Start ein Programm gestartet welches die Schei*e wieder aktiviert, ist "üblich".
Aber kannst Du mal nicht "alles" beenden und noch mal einen Hijack-Log hier reinstellen?
Dann siehtr man was noch übrig ist.

Ansonsten vorher (?) (wenn Du Adawre und Spybot S&D schon durchlaufen hast lassen):

STart => ausführen => "MSCONFIG" (ohne ") + Entertaste
Dort auf "Systemstart"
Wenn Du dort was mit "orbit" findest, Häkchen raus.
Wenn Du nichts findest oder es nicht hilft den Inhalt hier mal Posten, leider gibt es kein Log/File-Funktion

also adaware findet immer tewas namens windows (was ich irgendwie nicht löschen wollte, der name kam mir da doch komisch vor) und etwas namens "coolwebsearch"... das kann ich löschen so oft ich will, das kommt immer wieder. der log von hijackthis (in der hoffnung endlich mal alles beendet zu haben ;) )...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\WebDrive\wdservice.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\System32\SWMonitor.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\hijackthis1977\HijackThis.exe
C:\WINDOWS\System32\cidaemon.exe

<blockquote>Code:<hr /><pre style="font-size:x-small; font-family: monospace;"> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\WebDrive\webdrive.exe /trayicon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKCU\..\Run: [SWUpdateMonitor] C:\WINDOWS\System32\SWMonitor.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yaho...bio5_0_2_7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6DAC41-2198-4C12-A59E-EB7230E4A73E}: NameServer = 192.168.1.1</pre>[/QUOTE]und in dem msconfig find ich nix das orbit im namen hat... ich hab da einen seltsamen namenlosen... und ansonsten wkufind und dit.exe, die hab ich beide beendet. (ich hoffe ich hab keinen übersehen, die anderen konnte ich eigentlich zuordnen) (ich sollte noch mal versuchen dieses namenlose zu beenden...)

<blockquote>Zitat:<hr />Original erstellt von BlackWolf:
also adaware findet immer tewas namens windows (was ich irgendwie nicht löschen wollte, der name kam mir da doch komisch vor) und etwas namens "coolwebsearch"... das kann ich löschen so oft ich will, [/QUOTE]=> probiers doch mal mit CWShhredder (siehe Signatur)!

Ach ja und schreinb mal genauer die AdAware-Windows-Meldung

[ 07. April 2004, 20:38: Beitrag editiert von: Shadow ]