Cashsearch.biz treibt mich in den Wahnsinn!!! |
||
---|---|---|
#0
| ||
22.05.2004, 20:08
...neu hier
Beiträge: 2 |
||
|
||
22.05.2004, 20:13
Member
Beiträge: 1122 |
#2
Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/ O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download2/ToolBand.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - MFG DAFRA |
|
|
||
22.05.2004, 23:32
...neu hier
Themenstarter Beiträge: 2 |
#3
leider bleibt der Trojaner:
Logfile of HijackThis v1.97.7 Scan saved at 23:31:12, on 22.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE C:\windows\rundll32.exe E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Emerald PopStop\ETIPopStop.exe C:\WINDOWS\system.exe C:\WINDOWS\system.exe C:\WINDOWS\System32\mshta.exe C:\Programme\Internet Explorer\iexplore.exe F:\cynics downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=052704 Ser*hier nicht!*=DR12WRS-8796594-FHE lang=DE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 580" /O6 "USB001" /M "Stylus COLOR 580" O4 - Startup: Emerald PopStop.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1 |
|
|
||
23.05.2004, 13:20
Ehrenmitglied
Beiträge: 29434 |
#4
Nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden
Fixe: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php O4 - Startup: Emerald PopStop.lnk = neustarten #Lade ALLE Tools von dieser Site (AdAware, Spybot, CWSHredder und SPHfix.exe scanne http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #Lade e-scann (mwav.exe ), scanne<alle Dateien< und loesche manuell , was das Tool nicht beseitigt. http://www.mwti.net/antivirus/free_utilities.asp #Lade WebWasher und saeubere den IE http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html #Loesche die TemporaryInternetFiles...es bleibt nur die Index.bat UND ie-mediaplayer execute.htm Dann stelle unter InternetOptionen die Startseite neu ein. --------------------------------------------------------------------- http://www.pestpatrol.com/PestInfo/t/trojandownloader_vbs_psyme_a.asp http://www.liutilities.com/products/wintaskspro/processlibrary/systemexe/ Onlinescann http://housecall.trendmicro.com/ http://www.symantec.com/region/de/avcenter/snoops.html Browserwechsel - http://firebird-browser.de Java von Sun: http://www.java.com/de/index.jsp Poste das gereinigte Log noch mal. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.05.2004 um 13:50 Uhr von Sabina editiert.
|
|
|
||
23.05.2004, 13:51
Ehrenmitglied
Beiträge: 29434 |
#5
@Hallo Profis
Was ist das ? O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab mFg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2004, 15:18
Moderator
Beiträge: 7805 |
#6
Eine Art ActiveX Dialer. Sollte gefixt werden. Wird auch schon von einigen AV-Programme erkannt.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.05.2004, 15:58
...neu hier
Beiträge: 3 |
#7
Hallo Leute,
so ich hab den chashsearch.biz-Mist nach einigem rumprobieren wieder von meinem Rechner runter (mögen den cashsearch-Jungs die Server für immer abrauchen). Mit folgenden Schritten konnte ich den Schmarotzer entfernen : 1. System im abgesicherten Modus starten, hijackthis.exe ausführen und alles mit cashsearch und mstasks makieren und löschen. 2. Nun die Dateien C:\windows\mstasks.exe und mstasks1.exe löschen. 3. Normal neustarten. 4. Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit. 5. Editor öffnen und folgenden Text einfügen : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "System"=- [-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}] [-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}] [-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}] 6. Speichern unter "clear.reg" (dazu Dateityp : alle Dateien auswählen) 7. Doppelklick auf den so neu erzeugten File und der Abfrage "zur Registry hinzufügen" zustimmen. 8. Neustart 9. Diesen File c:\windows\system32\system32.dll finden und löschen. 10. Neustart und alles ist wieder gut. Bei Fragen helfe ich gern per eMail weiter. Gruss Galen |
|
|
||
26.05.2004, 19:09
...neu hier
Beiträge: 9 |
#8
galen gibt es noch ne andere möglichkeit den zu entfernen, denn mit deinem geschreiben kann ich ned so viel anfangen.
aja ich habe win2k da gibt es keine windows ordner. __________ http://www.bildervote.de/index.php?refid=7388 |
|
|
||
26.05.2004, 19:39
...neu hier
Beiträge: 3 |
#9
Naja da heißt der Ordner und damit der Pfad ja nur anders, nämlich c:\winnt\system32\system32.dll
Einen anderen Weg wüßte ich zur Zeit nicht. Gruss Galen |
|
|
||
26.05.2004, 22:17
...neu hier
Beiträge: 9 |
#10
ein großes danke an galen. wie es aussieht ist der Schei... endlich geschichte. taucht aufjedenfall nicht mehr auf.
hier noch des nacher log: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.EXE C:\WINNT\soundman.exe C:\Programme\Winamp3\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\ICQ\Icq.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.drachenerbe.de/ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinUpdate] C:\windows\pturk.exe O4 - HKLM\..\Run: [WinUpdatea] C:\windows\hta1.hta O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [knsfihywh4] C:\Programme\Symantec\mdmitt3va9.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab __________ http://www.bildervote.de/index.php?refid=7388 |
|
|
||
26.05.2004, 22:30
Moderator
Beiträge: 7805 |
#11
Ich weiss zwar nicht was vorher war, aber nun ist da noch eine ganze Menge...
Fix bitte noch das: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php O4 - HKLM\..\Run: [WinUpdate] C:\windows\pturk.exe (*) O4 - HKLM\..\Run: [WinUpdatea] C:\windows\hta1.hta (*) O4 - HKLM\..\Run: [knsfihywh4] C:\Programme\Symantec\mdmitt3va9.exe (*) O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe (*) Starte dann neu . Es waere nett, wenn du die Dateien, die mit (*) gekennzeichnet sind an virus@protecus.de schicken koenntest. Sofern sie ueberhaupt noch da sind. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.05.2004, 22:56
...neu hier
Beiträge: 9 |
#12
leider konnte nur die mdmitt3va9.exe gefunden werden auf der festplatte.
die wollte ich auch schicken, aber sofort ist von yahoo der virenschutz angesprungen. danke vielmals. __________ http://www.bildervote.de/index.php?refid=7388 |
|
|
||
27.05.2004, 05:28
Moderator
Beiträge: 7805 |
#13
Das ginge nur mit passwortverschluesseltem Archiv(z.B. ZIP) . Welcher irus wurde denn gemeldet?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.05.2004, 12:00
...neu hier
Beiträge: 9 |
#14
ich kann sie dir senden wen es mit dem zip geht. die dateien befinden sich im quarantäne ordner von antivir.
hier mal die antivir logs: 26.05.2004,18:02 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.eb.2! C:\WINNT\SH2.EXE [INFO] Die Datei wurde gelöscht! 26.05.2004,18:02 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.eb.3! C:\CT27KH2B\TOPPOP[1].EXE [INFO] Die Datei wurde gelöscht! 26.05.2004,18:02 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.eb.3! C:\WINNT\TOPPOP.EXE [INFO] Die Datei wurde gelöscht! die 2 trojaner habe ich immer wieder selbst wiederhergestellt. bis hijack sie vernichtet hat. __________ http://www.bildervote.de/index.php?refid=7388 Dieser Beitrag wurde am 27.05.2004 um 12:03 Uhr von BoneBene editiert.
|
|
|
||
27.05.2004, 12:20
Moderator
Beiträge: 7805 |
#15
Im Zweifelsfalle einschicken....
Dann diese bitte auch: mdmitt3va9.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Wurde vor Stunden Opfer von search.biz.
IE startet Pornoseite und läßt meinen Virenscanner aufheulen (Mc.Afee 8) -
Exploit - MhtRegdir.gen
VBS/Psyme
Startpage CZ
sind nur einige der Meldungen.
Hier mein Hijack Log: (vielleicht weiß ja einer eine passende Lösung)
Logfile of HijackThis v1.97.7
Scan saved at 20:00:49, on 22.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\windows\rundll32.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Emerald PopStop\ETIPopStop.exe
C:\WINDOWS\system.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\cynics downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=052704 Ser*hier nicht!*=DR12WRS-8796594-FHE lang=DE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 580" /O6 "USB001" /M "Stylus COLOR 580"
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O4 - Startup: Emerald PopStop.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download2/ToolBand.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
Danke im Vorraus für mögliche Problemlösungen!