icons mit "sex"oder "Casino" auf mein desktop etc.

#1 seid ein paar tagen spinnt mein pc völlig rum. Mein PC: amd 1600,1024MB,win XP pro,eine festplatte mit 20 GB wo windows und paar andre programme drauf sind, eine festplatte mit 120 GB wo hauptsächlich filme, musik und spiele drauf sind.Internet t-online DSL flat.ausserdem hab ich Antivir(up2date)und ad-aware.kann leider nicht mehr so einfach formatieren, da ich keine winXP cd mehr hab.sonst hätt ich einfach formatiert...

jetzt die "Symtome":

1: Bin mit t-online browser im net und seh die t-online startseite. wenn ich aber strg+alt+entf mach und die laufenden anwendungen anschau seh ich dass der i-net explorer ca.5 sex+casino seiten aufgemacht hat, und wenn ich die über task beenden zumach, gehen sie gleich wieder auf!
2:regelmäsig-so alle stunde kommen auf einmal irgendwelche icons mit "sex"oder "Casino" auf mein desktop, die ich dann immer gleich lösch.
3.wenn ich z.B google.de eingeb komm ich immer auf google.com (mit so nem viereck dahinter) drauf. und auch so kommen manchmal ganz andrere seiten dabei raus!
4. Hab versucht den I-Net explorer zu löschen über Programme/Internetexplorer, geht aber nicht, weil er irgendwie verwended wird, obwohl ich alle programme geschlossen hab und auch bei laufenden anwendungen alles zugemacht hab.
5.kann in Start/Einstellungen/Systemsteuerung nicht mal mehr den Ordner "Software" Öfnnen! (wollt so den I-net Explorer löschen)

Hier meine hijack file:

Logfile of HijackThis v1.97.7
Scan saved at 12:37:42, on 25.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\services\y.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\System32\wintit.exe
C:\WINDOWS\wininet32.exe
C:\Dokumente und Einstellungen\andy\Anwendungsdaten\atul.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\services\beda.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\T-Online\Browser\browser.exe
C:\Programme\AVPersonal\AVGUARD.EXE
D:\Downloads\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hardcorevibe.com/pornvideo.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://ilead.itrack.it/clients/Milupa_GmbH/c1377/popup.asp?campaignid=1377&websiteid=2340&scriptid=2827
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=C:\WINDOWS\system32\services\y.exe
O2 - BHO: (no name) - {4BCF322B-9621-4e90-9678-F1424EB7584E} - C:\WINDOWS\udpmod.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - (no file)
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\y.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\y.exe
O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintit.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O9 - Extra button: Locators.com Search Bar (HKLM)
O9 - Extra 'Tools' menuitem: Locators.com Search Bar (HKLM)
O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: http://ehttp.cc?
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\x.mht!http://64.237.47.178/chm.chm::/1/e.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111171} - ms-its:mhtml:file://c:\\nosuch.mht!http://line-plus.com/newhelp.chm::/newhelp.exe
O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_4_EN_XP.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E9DF1A-BE0C-4CFC-9D80-E11CD5A66159}: NameServer = 217.237.151.97 194.25.2.129

ANTIVIR meldungen: -infiziertes Archiv twaintec.cab -infiziertes Archiv 0006[1]cab - infiziertes Archiv freemovies[1].jar
C:\Dokumente und Einstellungen\andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2XGB65U5
0006[1].cab
ArchiveType: CAB (Microsoft)
--> istactivex.dll
[FUND!] Ist das Trojanische Pferd TR/IstBar.DW
freemovies[1].jar
ArchiveType: ZIP
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Classloader.D
--> VerifierBug.class
[FUND!] Ist das Trojanische Pferd TR/Java.ByteVerify
C:\Dokumente und Einstellungen\andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E9MWNQFD
EPlugin[1].cab
ArchiveType: CAB (Microsoft)
--> EPlugin.inf
HINWEIS! Der Archivheader ist defekt
--> EPlugin.ocx
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EXL6B6D0
cs-model-hitboxes[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
MaConnect[1].cab
ArchiveType: CAB (Microsoft)
--> MaConnect.inf
HINWEIS! Der Archivheader ist defekt
--> MaConnect.dll
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPK1QBKD
ar3[1].jar
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\Downloaded Program Files
MediaTicketsInstaller.ocx
Die Datei enthält Signatur des PMS/Drop.Wintsu-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\system32
wind.exe
WARNUNG! Ungültige Startadresse!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temp
Perflib_Perfdata_dfc.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


D:\eMule.de\Incoming
Fussball.Manager.2004.GERMAN-Souldrinker.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: 25.05.2004 13:21
Benötigte Zeit: 19:57 min


1304 Verzeichnisse wurden durchsucht
36653 Dateien wurden geprüft
26 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Viren bzw. unerwünschte Programme wurden gefunden

Noch eine Frage: Mein Antivir löscht oder repariert keine infizierten Archive. Kann ich da irgendwie umstellen oder gibt es ein freeware antivirenprogramm dass auch archive löscht und repariert????


Bitte helft mir!

#2 @aladin85

Zuerst mal ruhig bleiben

Dann
1. Temporäre Internetfiles löschen
Systemsteuerung/Internetoptionen/dateien löschen...

2. Systemwiederherstellung deaktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

3. Das in HIJackThis fixen
Alles mit R0 & R1
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=C:\WINDOWS\system32\services\y.exe
O2 - BHO: (no name) - {4BCF322B-9621-4e90-9678-F1424EB7584E} - C:\WINDOWS\udpmod.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - (no file)
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\y.exe
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\y.exe
O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintit.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: http://ehttp.cc?
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\x.mht!http://64.237.47.178/chm.chm::/1/e.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111171} - ms-its:mhtml:file://c:\\nosuch.mht!http://line-plus.com/newhelp.chm::/newhelp.exe

4. Neustart machen


5. Dann dies durchführen
http://www.rokop-security.de/main/article.php?sid=703
besonders CWShredder

6. Dann Virenscanner updaten und alles scannen

7. Wieder Neustart von Windows

8. Systemwiederherstellung wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

9. Dann nochmal HiJAckthis LogFile + AntiVir Logfile posten

Du sollest auch dringend ein WindowsUpdate machen
www.windowsupdate.com

Gruß paff
P.S.
Wichtiger Hinweis:
Während des Fixen und während die Programmen laufen, NICHT den INTERNET EXPLORER geöffnet haben , am besten auch Internetverbindung trennen.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 danke für deine schnelle hilfe!

also bei 2.

über all wo bei hijack nachm scann r0 und r1 steht ein häckchen machen und löschen oder wie?


PS: kann leider kein windows update machen, weil keine orginalversion. oder doch?

noch n problem:

gibts n anderen weg um in systemeigenschaften zu kommen? weil auf arbeitzplatz rechtsklick und dann auf eigenschaften da tut sich bei mir nix...

#4

Zitat

aladin85 postete
danke für deine schnelle hilfe!

also bei 2.

über all wo bei hijack nachm scann r0 und r1 steht ein häckchen machen und löschen oder wie?

JA alles mit R1 & R0 und alle sionst angegebenen
Du hast 'ne Zeug daruf

Zitat

noch n problem:
wollt grad schritt für schritt deiner anleitung nachgehen, aber kann die temp internet files nicht löschen, weil
ich komischer weise keine einzigen ordner(somit auch nicht internetoptionen) in der Systemsteuerung öffnen kann! ich mach doppelklick aber da passiert einfach nix. Systemsteuerung/Software konnt ich ja auch schon nicht öffnen..

OK die Hijacker sperren dies wahrscheinlich.
Also zuerst fixen in HiJAckThis dann neustart

Die tempo-Internetfiles kannst du später noch löschen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 ähm is des wichtig mit systemwiederherstellung deaktivieren? des geht bei mir nämlich nicht!

#6 @aladin

Vergiss Temp-Internetfiles und Systemwiederherstellung
Erstmal Fixen und dann alles aus dem Link ausführen


Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 gibts dieses spybot search&destroy auch noch wo anders? weil irgendwie kann ich des von deinem link nicht runterladen?

nochwas:

alle 20 sekunden melded mein AV Guard von antivir einen trojander,dialer oder sonstwas, die ich dann immer gleich löschen muss.
z.B TR/Zerolin
oder Dial/300264. des nervt voll. was soll ich denn da machen?
Firewall?

#8 @aladin

Benutzt mal diese Links
http://board.protecus.de/t9373.htm

+ Fixe alles angegebene und Neustart (wichtig)

Notfalls im abgesicherten Modus machen
http://www.bsi.de/av/texte/winsave.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 ok thx dir! hast mir sehr geholfen! habs jetzt einigermaßen im griff!

hab noch ne ganz andre frage: wie oder mit was öffne ich eine datei die im pps-format ist?

#10 hi,

@ aladin85

mit Microsoft Power Point

Gruß

MIKO

#11 @aladin85

du kannst alle WindowsUpdates machen, ausser dem Windows ServicePack1 (das musst du vom Downloaden ausschliessen)
den IE kannst du hier aktualisieren
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp

Die Systemwiederherstellung deaktivierst du so:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
------------------------------------------------------------------------------------------------



Scanne den HijackThis, dann ein Heackchen vor folgendes:
UND dann <fix<

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hardcorevibe.com/pornvideo.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://ilead.itrack.it/clients/Milupa_GmbH/c1377/popup.asp?campaignid=1377&websiteid=2340&scriptid=2827
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F1 - win.ini: run=C:\WINDOWS\system32\services\y.exe

O2 - BHO: (no name) - {4BCF322B-9621-4e90-9678-F1424EB7584E} - C:\WINDOWS\udpmod.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.01.00.dll
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - (no file)
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)

O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\y.exe
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\y.exe
O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintit.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

diese 04- Eintraege auch im Taskmanager deaktivieren !

O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: http://ehttp.cc?

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\x.mht!http://64.237.47.178/chm.chm::/1/e.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111171} - ms-its:mhtml:file://c:\\nosuch.mht!http://line-plus.com/newhelp.chm::/newhelp.exe

Neustart machen
----------------------------------------------------------------------------
und gleich in den abgesicherten Modus gehen :
(F8 beim Hochfahren druecken)und scanne dort mit dem Antivirus.
Der Antivirus loescht sehr wohl , man muss das Tool so einstellen und im abgesicherten Modus scannen !

neustart


schau mal in c:\Windows\System32\drivers\etc\hosts rein, was da drin steht.
Im Normalfall sollte dass hier drin stehen.
127.0.0.1 localhost
#Orginal Host Datei


Lade AdAware ,(free-version)...updaten...scannen
http://www.lavasoft.de/support/download/
#Lade von dieser Site den CWSHredder und Sphj.exe (Internet dann deaktivieren und scannen)
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#Lade dann noch den e-scann (mwav.exe), scanne<alle Dateien< und loesche manuell, was das Tool anzeigt(wenn du willst, kopiere das Log und poste es)
http://www.mwti.net/antivirus/free_utilities.asp

Dann lloeschst du unter InternetOptionen die TemporaryInternetFiles und Cookies und stellst die Startseite neu ein.
#Lade den ClearProg
http://www.clearprog.de/

#Lade den Firefox (ist Hijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php

#Lade DigitPatrol(trial)
http://www.antiviraldp.com/download.htm

#Mache einen Onlinescann
http://housecall.trendmicro.com/

Dann poste das Log noch mal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit