Home » Spyware & Browser Hijacker Support Forum » Wie werde ich http:\\netsearchsoft.com als Startseite wieder los? » Themenansicht
Wie werde ich http:\\netsearchsoft.com als Startseite wieder los? |
||
|---|---|---|
| #0
| ||
|
05.06.2004, 09:51
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
06.06.2004, 14:50
...neu hier
Beiträge: 1 |
#2
hallo christiank,
hatte das selbe problem und leider überhaupt keine ahnung von computern. habe ein bischen gestöbert und bin auf einen artikel gestoßen indem die lösung zum problem searchtown und anderer spyware stand. die einfache lösung für leihen wie mich heißt "CWSchredder" (einfach in die suchmaschiene eingeben und runterladen) .es hat searchtown eleminiert und noch 10 weitere kleine progrämmchen die sich bei mir eingenistet hatten und von denen ich nicht mal was wußte  .falls du dein problem nicht schon anderweitig gelöst hast hoffe ich dir hiermit weitergeholfen zu haben gruß simon_nba |
|
|
|
|
|
|
06.06.2004, 15:28
...neu hier
Themenstarter Beiträge: 10 |
#3
Vielen Dank erstmal. Hab das alles schon ausprobiert, aber die Programme finden nichts.
Was kann ich noch tun? Weiß jemand noch etwas? |
|
|
|
|
|
|
06.06.2004, 17:25
Member
Beiträge: 441 |
#4
@ christiank
Diese Enträge fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://netsearchsoft.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://netsearchsoft.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netsearchsoft.com/passthrough/index.html?http://www.ju-groebenzell.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://netsearchsoft.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://netsearchsoft.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://netsearchsoft.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://netsearchsoft.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = , R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [MSZTCE] C:\WINNT\system32\MSZTCE.EXE O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [third title] C:\PROGRA~1\BASERO~1\DEAD SOAP.exe __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
06.06.2004, 18:01
...neu hier
Themenstarter Beiträge: 10 |
||
|
|
|
|
|
22.06.2004, 22:00
...neu hier
Beiträge: 5 |
#6
Hola todos,
Ich habe selbiges Problem und werde "netsearchsoft" nicht los. Ich bin wie bei Eurer vorherigen Anfrage vorgegangen und habe meinen Rechner mit Adaware und Spybot durchforstet. Highjackthis findet dann noch einen Eintrag in Bezug auf "netsearchsoft", den ich fixe. Beim nächsten Neustart des Rechners ist netsearchsoft wieder aktiv. Anbei findet Ihr mein logfile mit der Bitte um Eure Hilfe Herzlichen Dank Miguel Logfile of HijackThis v1.97.7 Scan saved at 21:54:02, on 22.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\PROGRA~1\ONLINE~3\1 trust 16.exe C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\ntvdm.exe C:\OPLIMIT\ocrawr32.exe C:\Programme\CA\SharedComponents\Alert\ALERT.EXE C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\eTrust Antivirus\inoweb.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\wuauclt.exe H:\install\highjackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.at/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.hofer.at/ O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de-at\msntb.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [multidart] C:\PROGRA~1\ONLINE~3\1 trust 16.exe O4 - HKCU\..\Run: [PlaxoUpdate] C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe -a O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://www.plaxo.com/activex/PlaxoInstall.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37893.1583217593 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
|
|
|
|
23.06.2004, 15:24
Ehrenmitglied
 Beiträge: 29434 |
#7
@miguelp
poste bitte das HijackThis MIT der verstellten Startseite. Inzwischen lade mwav.exe...30 Tage free, scanne und loesche manuell, was das Tool anzeigt. http://www.mwti.net/antivirus/free_utilities.asp Lade von dieser Site Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html und lade von dieser Seite den CWSHredder...ohne Internetverbindung scannen http://www.pchell.com/support/searchspace.shtml MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 15:28 Uhr von Sabina editiert.
|
|
|
|
|
|
|
24.06.2004, 09:43
...neu hier
Beiträge: 5 |
#8
Hallo Sabina,
Herzlichen Dank für Deine Hilfe! Bin leider nicht so firm mit Highjackthis und konnte mit Deinem Kommentar "MIT der verstellten Startseite" wenig anfangen. Habe aus highjackthis die "startuplist" erstellt und nach dem scannen mit all den angegebenen Programmen nochmals das logfile erstellt. Hier beides in der Hoffnung auf einen weiteren Tip von Deiner Seite: StartupList report, 23.06.2004, 20:34:27 StartupList version: 1.52 Started from : H:\install\highjackthis\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\SharedComponents\Alert\ALERT.EXE C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\WINDOWS\Explorer.EXE C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\eTrust Antivirus\inoweb.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\ONLINE~3\1 trust 16.exe C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\ntvdm.exe C:\OPLIMIT\ocrawr32.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\wuauclt.exe H:\install\highjackthis\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Miguel\Startmenü\Programme\Autostart] OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Dit = Dit.exe PinnacleDriverCheck = C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg CHotkey = mHotkey.exe PCMService = "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe PRISMSTA.EXE = PRISMSTA.EXE START Realtime Monitor = C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s multidart = C:\PROGRA~1\ONLINE~3\1 trust 16.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run PlaxoUpdate = C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe -a ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll - {00C6482D-C502-44C8-8409-FCE54AD9C208} (no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Download Program Files: [{02BED220-FBC7-4392-93A2-3A50B056F78E}] CODEBASE = http://down.plaxo.com/down/release/instub.cab [PlxInstall Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\PlaxoInstall.dll CODEBASE = http://www.plaxo.com/activex/PlaxoInstall.cab [Office Update Installation Engine] InProcServer32 = C:\WINDOWS\opuc.dll CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab [Update Class] InProcServer32 = C:\WINDOWS\System32\iuctl.dll CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37893.1583217593 [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 5.874 bytes Report generated in 0,063 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only --- Logfile of HijackThis v1.97.7 Scan saved at 20:36:06, on 23.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\SharedComponents\Alert\ALERT.EXE C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\WINDOWS\Explorer.EXE C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\eTrust Antivirus\inoweb.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\ONLINE~3\1 trust 16.exe C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\ntvdm.exe C:\OPLIMIT\ocrawr32.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\wuauclt.exe H:\install\highjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netsearchsoft.com/passthrough/index.html?http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.at/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.hofer.at/ O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de-at\msntb.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [multidart] C:\PROGRA~1\ONLINE~3\1 trust 16.exe O4 - HKCU\..\Run: [PlaxoUpdate] C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe -a O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://www.plaxo.com/activex/PlaxoInstall.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37893.1583217593 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
|
|
|
|
24.06.2004, 09:59
Ehrenmitglied
Beiträge: 29434 |
#9
scanne mit dem HijackThis, dann hake an, was ich poste und fix
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netsearchsoft.com/passthrough/index.html?http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START neustarten Gehe in den abgesicherten Modus ...F8 beim Hochfahren druecken und in die Registry und loesche Start\Ausfuehren\regedit HKCU\Software\Microsoft\Internet Explorer\Main,Start Page \http://netsearchsoft.com/passthrough/index.html?http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home #schreibe die gewuenschte Startseite rein #Gehe zu C:\WINDOWS\System32\drivers\etc\hosts oeffne mit dem Editor und loesche alles ausser 127.0.01 neustarten #arbeite das durch http://www.rokop-security.de/main/article.php?sid=703 #loesche unter InternetOptionen die TemporaryInternetFiles #mache einen Onlinescann http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php #Lade a2 http://www.emsisoft.de/de/software/free/ #Loesche unter InternetOptionen die TemporaryInternetFiles #Surfe nur mit dem Firefox http://www.firebird-browser.de/ ......................................................................................................... #ueberpruefe...mit Kaspersky C:\WINDOWS\System32\PRISMSTA.EXE http://www.kaspersky.com/remoteviruschk.html Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.06.2004 um 10:05 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.06.2004, 23:40
...neu hier
Beiträge: 5 |
#10
Hallo Sabina,
bin schon ziemlich verzweifelt; hab all Deine Tips durch und jedesmal, wenn ich den Rechner hochfahre, finde ich netsearchsoft wieder. [Hab alle Programme runtergeladen und ausgeführt; habe prismsta.exe überprüfen lassen (=ok); war im abgesicherten Modus und habe die startseite eingerichtet; temp files gelöscht; windows updates aktualisiert; Virenscan etrust am letzten Stand] - Beim Neustart dürfte smss.exe in system32 wieder "reinkommen", das anschließend von Adaware wieder erkannt wird. Starte ich highjackthis nach dem Neustart, findet es wieder den netsearchsoft-Eintrag, den ich schon zuvor gefixt und im abgesicherten Modus manuell aus der registry entfernt hatte. Ich poste nochmals meine log files und hoffe, dass Dir noch etwas zu meinem Problem einfällt Herzlichen Dank Miguel StartupList report, 29.06.2004, 23:27:37 StartupList version: 1.52 Started from : H:\install\highjackthis\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\PROGRA~1\ONLINE~3\1 trust 16.exe C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\DitExp.exe C:\OPLIMIT\ocrawr32.exe C:\Programme\CA\SharedComponents\Alert\ALERT.EXE C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\eTrust Antivirus\inoweb.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\IEXPLORE.EXE H:\install\highjackthis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Miguel\Startmenü\Programme\Autostart] OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Dit = Dit.exe PinnacleDriverCheck = C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg CHotkey = mHotkey.exe PCMService = "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe PRISMSTA.EXE = PRISMSTA.EXE START Realtime Monitor = C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s multidart = C:\PROGRA~1\ONLINE~3\1 trust 16.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run PlaxoUpdate = C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe -a ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll - {00C6482D-C502-44C8-8409-FCE54AD9C208} (no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Download Program Files: [{02BED220-FBC7-4392-93A2-3A50B056F78E}] CODEBASE = http://down.plaxo.com/down/release/instub.cab [PlxInstall Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\PlaxoInstall.dll CODEBASE = http://www.plaxo.com/activex/PlaxoInstall.cab [Office Update Installation Engine] InProcServer32 = C:\WINDOWS\opuc.dll CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab [HouseCall-Kontrolle] InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx CODEBASE = http://housecall.trendmicro-europe.com/housecall/Xscan53.cab [Update Class] InProcServer32 = C:\WINDOWS\System32\iuctl.dll CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37893.1583217593 [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 6.067 bytes Report generated in 0,047 seconds Logfile of HijackThis v1.97.7 Scan saved at 23:23:10, on 29.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\PROGRA~1\ONLINE~3\1 trust 16.exe C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\DitExp.exe C:\OPLIMIT\ocrawr32.exe C:\Programme\CA\SharedComponents\Alert\ALERT.EXE C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\eTrust Antivirus\inoweb.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\IEXPLORE.EXE H:\install\highjackthis\HijackThis.exe C:\Dokumente und Einstellungen\Miguel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GH01KLM5\FirefoxSetup-0.8-de-DE[1].exe C:\DOKUME~1\Miguel\LOKALE~1\Temp\ns_temp\SETUP.EXE R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.hofer.at/ O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de-at\msntb.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [multidart] C:\PROGRA~1\ONLINE~3\1 trust 16.exe O4 - HKCU\..\Run: [PlaxoUpdate] C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe -a O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://www.plaxo.com/activex/PlaxoInstall.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37893.1583217593 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
|
|
|
|
30.06.2004, 01:03
Ehrenmitglied
Beiträge: 29434 |
#11
@MiguelP
Auesserlich ist das Log o.k. Versuche 1. Lade den Stinger http://vil.nai.com/vil/stinger/ es gibt zwei smss.exe die eine ist die windows smss.exe und die andre gehört zu einem wurm namens w32/sdbot.worm.gen.g 2. Scanne mit dem escann...mwav.exe im abgesicherten Modus, den ich dir das andere Mal emphohlen hatte....er vertaegt sich gut mit anderen Scannern http://www.mwti.net/antivirus/free_utilities.asp 3.Lade Cwshredder http://www.spywareinfo.com/~merijn/downloads.html 4. Lade SP http://www.rokop-security.de/main/article.php?sid=746 5. Lade spysweeper free http://www.spysweeper.com/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.06.2004 um 01:06 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.07.2004, 19:16
...neu hier
Beiträge: 5 |
#12
Hallo Sabina,
Habe alle Deine Punkte befolgt und installiert mit dem Ergebnis, dass Spysweeber mich alle 3 min fragt, ob die Startseite auf netsearchsoft geändert werden soll - habe dies zwar nun bei den Optionen fixiert, eine Urachenbehebung ist´s dennoch nicht. Hast Du noch weitere Vorschläge? Herzlichen Dank Miguel |
|
|
|
|
|
|
12.07.2004, 21:43
Ehrenmitglied
Beiträge: 29434 |
#13
miguelp
ich weiss auch nicht, was das soll...mit Startseite aendern....zumal zu einem Hijacker ... ) und das bei Spysweeper... da muss ich mich mal schlau machen... Lade AdAware free ...update und scanne <alle Dateien< http://www.lavasoft.de/support/download/ Lade Spybot http://www.safer-networking.org/de/download/index.html Scanne und dann gibt es eine Einstellung, wo du die Startseite vom IE fixieren kannst ...und vor veraenderungen schuetzen. Finde die Tools was ? mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.07.2004 um 21:46 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.07.2004, 22:24
...neu hier
Beiträge: 5 |
#14
Sabina,
hab nochmals die updates laufen lassen - bin lt. den angegebenen tools virenfrei. Starte ich highjackthis, findet dieser wieder den netsearchsoft eintrag, den ich fixe; kurz darauf ist er bei erneutem scan wieder drinnen... LG Miguel |
|
|
|
|
|
|
12.07.2004, 22:30
Ehrenmitglied
Beiträge: 29434 |
#15
miguelp
fixe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch neustarten deaktiviere kurz deinen Virenscanner installiere Antivirus http://www.free-av.de/ Konfiguriere den Antivirus AVGCtrl Automatischen Scan stoppen, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Geh in den abgesicherten Modus...das ist wichtig ! http://www.bsi.de/av/texte/winsave.htm und mache einen Vollscann mit dem Antivirus. .............................................................................................................. normal neustarten Lade AdAware free ...update und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Loesche mit dem ClearPprog die TemporaryInternetFiles http://www.clearprog.de/ #Lade Cwshredder...schliesse alle Browserfenster vor dem Scannen http://www.chip.de/downloads/c_downloads_11353799.html Dann brichte, ob die Verstellte Startseite noch auftritt. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.07.2004 um 22:35 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
--------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 09:54:38, on 05.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\System32\Drivers\SAP\FD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\PROGRA~1\BASERO~1\DEAD SOAP.exe
C:\WINNT\system32\internat.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\FRITZ!DSL\awatch.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Desktop\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://netsearchsoft.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://netsearchsoft.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://netsearchsoft.com/passthrough/index.html?http://www.ju-groebenzell.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://netsearchsoft.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [FD_SAP] C:\WINNT\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [third title] C:\PROGRA~1\BASERO~1\DEAD SOAP.exe
O4 - HKLM\..\Run: [MSZTCE] C:\WINNT\system32\MSZTCE.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - Global Startup: ADSLWatch.lnk = C:\Programme\FRITZ!DSL\awatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: iFinger (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O12 - Plugin for .de/tum-td/de/studium/lehre/waerme_u_stoff/download/HaiTiH/Gruppenbrief: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.4127314815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85DE4CE0-E932-42DF-BFB5-02261990110D}: NameServer = 192.168.122.252,192.168.122.253