web rebates kehrt immer wieder

#1 Hab seit über einer Woche mit dem Programm Web Rebates zu kämpfen
Es kommt immer wieder egal wie oft ich es entferne.
Mein Virenscanner(Antivir) findet immer wieder Trojaner im ordner C:/Temp, die aber sofort wieder verschwinden und deshalb nicht gelöscht werden können.
Hab webrebates jetzt gerade mal wieder mit adware away entfernt, das hatte ich schonmal deswegen hier mal das hijack log:

Logfile of HijackThis v1.98.2
Scan saved at 11:10:49, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\soundman.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Win Comm\WinComm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
C:\Programme\NETGEAR\WG121 Configuration Utility\wlancfg8.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Programme\Adware Away\AdAway.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tdak.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - Startup: Verknüpfung mit AVGUARD.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: IDW Logging Tool.lnk = C:\WINDOWS\idwlog.exe
O4 - Global Startup: Microsoft Office.lnk = D:\office\Office\OSA9.EXE
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {7F2 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-00010 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000102 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC}
- (no file) (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097683086421



ach ich weiß selber das ich noch sp1 drauf hab, aber unter sp 2 lief bei mir gar nichts mehr deshalb habe ich es wieder runtergeschmissen.
oben ist auch der ie als browser angegeben
benutz aber immer mozilla


schonmal danke für die Hilfe

#2 FIxe bitte folgendes:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tdak.com/searchbar.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\office\Office\OSA9.EXE
O9 - Extra button: (no name) - {7F2 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-00010 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000102 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC}
- (no file) (HKCU)

neu starten und folgnde Dateien hier testen: http://virusscan.jotti.dhs.org/ oder hierhin schicken: virus@protecus.de :

C:\WINDOWS\system32\SystemConfig.exe
C:\WINDOWS\susp.exe

auf jedenfall schreiben, was dabei herausgekommen ist. Dieses Verzeichniss bitte loeschen:
C:\Programme\Web_Rebates
C:\Program Files\Win Comm
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
C:\WINDOWS\system32\SystemConfig.exe
C:\WINDOWS\susp.exe

habe alles gemacht wie beschrieben
allerdings exestieren oben genannte dateien nun nicht mehr auf meiner platte?!

#4 Mache das und schaue, ob du sie immer noch nicht finden kannst:

Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden.[aus dem Trojaner-info eScan artikel]
__________
MfG Ralf
SEO-Spam Hunter

#5 Bin wie oben beschrieben vorgegangen und die dateien sind immer noch nicht auffindbar.

Ist das jetzt gut oder schlecht?

#6 Das ist gut!

Nutze zur Kontrolle bitte eScan und schreibe, was es alles noch gefunden hat:
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter

#7 File C:\Gamers.Interactive\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken.
File C:\WINDOWS\System32\id113.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\istinstall_143666.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Christopher_Grob\Lokale Einstellungen\Temp\adlinstallwin32.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
File C:\Gamers.Interactive\Gamers.IRC\add-on\minigames\sheep\esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\Gamers.Interactive\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken.
File C:\Gamers.Interactive\Gamers.IRC\system\bin\dll\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\instalationsdateien\irc\girc321.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken.
File C:\instalationsdateien\irc\girc321update.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken.
File C:\mIRC\backup\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.01. No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\MSBB.EXE.VIR tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\RECYCLER\S-1-5-21-2188283067-2320958936-2409960447-1005\Dc189\disp1150.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken.
File C:\RECYCLER\S-1-5-21-2188283067-2320958936-2409960447-1005\Dc189\WebRebates1.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken.
File C:\RECYCLER\S-1-5-21-2188283067-2320958936-2409960447-1005\Dc192\sheep\esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
File C:\temp\WebRebates_Auto_InstallSilent_Euro.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCommX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINDOWS\system32\id113.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\istinstall_143666.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
File D:\DivXPro503GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Downloads\netpumper-1.20.1-setup.exe tagged as not-a-virus:AdWare.SaveNow.v. No Action Taken.
File E:\Downloads\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File E:\gr_plugin140.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


das wurde alles gefunden
hab alle entfernt bis auf die irc dinger mittels killbox
weil das benutz ich und hab bisher noch nie gehört das das gefährlich ist?????

diese 2 waren als ich sie löschen wollte nichtmehr da:
File C:\WINDOWS\system32\id113.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\istinstall_143666.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action

#8 Wenn sie laut Killbox und escan nicht mehr da sind ist es ja in Ordnung. Das mit mir wird ja auch "nur" als Riskware angesehen. Sprich man kann es fuer "boesses" gebrauchen, bzw wurde schon mal. Diese Meldung bekommst du bei Escan zwar immer, aber bei Kaspersky nur, wenn du einen Erweiterten Signatursatz laedst.
__________
MfG Ralf
SEO-Spam Hunter

#9 ok dann vielen dank für die hilfe

#10 hy,
ich habe das selbe, oben genannte Problem mit Web Rebates...
bei mir wurden auch immer auf D:\Temp\ Tronjaner gefunden,
doch verschwanden, bevor Antivir sie löschen konnte, in D:\Temp
ist aber auch eine setup.exe mit dem Namen
Web_Rebates_silent-install_euro.exe welche ich bereits gelöscht habe...
ich poste einfach mal den Hijack Log...
und bitte um baldige Hilfe!

_______________________
Logfile of HijackThis v1.98.2
Scan saved at 20:47:22, on 06.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\aaksrv.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
d:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\SLEE401.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\McAfee\McAfee Firewall\CPD.EXE
d:\PROGRA~1\mcafee.com\vso\mcshield.exe
D:\PROGRA~1\McAfee.com\Agent\mcupdui.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\McAfee\McAfee Firewall\CPD.EXE
D:\PROGRA~1\mcafee.com\agent\mcagent.exe
D:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
D:\WINDOWS\Mixer.exe
D:\Program Files\Win Comm\WinComm.exe
D:\Programme\Logitech\iTouch\iTouch.exe
d:\progra~1\mcafee.com\vso\mcvsescn.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
D:\Programme\Logitech\iTouch\kbdtray.exe
d:\progra~1\mcafee.com\vso\mcvsftsn.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\ICQLite\ICQLite.exe
D:\DOKUME~1\NADIAB~1\LOKALE~1\Temp\Rar$EX00.171\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2142
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw=
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {D8F7589D-D267-3B3A-0007-DCCA2C3772DD} - (no file)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - d:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MCUpdateExe] D:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] d:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "d:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "d:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Winad Client] D:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [Win Comm] D:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [service] D:\WINDOWS\services.exe -serv
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WindowEnhancer] "D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE" /U
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysService] D:\Programme\NSkeylogger\SERVICES.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Accelerate] G:\Accelerate\accelerate.exe /S
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [sws.exe] d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe -remove
O4 - HKCU\..\Run: [sp] D:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: PrecisionTime.lnk = D:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzfw001
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ChatSpace Java Client 2.1.0.88L - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: ChatSpace Java Client 3.1.0.212 - http://209.120.156.26/Java/cms31212.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1759031.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=f3700d076eeaeca5a7f6c79a1268a6bd235f562e7e7f644ed9ad6d27363ea0905557407a09131ce1102d61ff488a283b943cc183:862fa71a683d4c83963a4ca9d760ebbd
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.00.0036/OCI/setup.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6DAC4E7-DED4-4C4E-9DBC-D03D7CF773D7}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O20 - AppInit_DLLs: system32\aakah.dll

habe die kästchen mit "Web Rebates" habe ich schon gefixt...
was muss ich nun machen???
mfg FiReZz

#11 Hallo das ist ein Hilfreruf... Bin absoluter Internet Anfänger und nur über Zufall auf diese Seite gestoßen.. Auch ich habe Probleme mit "Webrebates". Kann mir jemand so weiterhelfen, dass ich es verstehe.
Hier der Scan der anscheinend wichtig ist: DANKE SCHON MAL IM VORAUS!

Logfile of HijackThis v1.98.2
Scan saved at 01:19:36, on 14.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\System32\msg32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows AdService\WinAdServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\temp\salm.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\trojanhunter 3.9\submitfiles\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=67198
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=67198
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R3 - URLSearchHook: (no name) - _{FDE3577A-6254-181C-4E11-339E4F746BD3} - (no file)
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
O2 - BHO: (no name) - {59BA4017-4254-0E7E-9B33-D8C170AE5135} - C:\WINDOWS\system32\msadblock32.dll (file missing)
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-76746C56544C} - C:\WINDOWS\System32\vtlbar1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-76746C56544C} - C:\WINDOWS\System32\vtlbar1.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [Windows AdService] C:\Program Files\Windows AdService\WinAdServ.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O15 - Trusted Zone: http://*.windupdates.com
O15 - Trusted Zone: http://*.xxxtoolbar.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=f1be8880edb636b73fa27f6fcd08fb5b519f70b1d9b8e268cd15c1774202686c5ab30a37623052f16aff2a1f6cefa5397ebb544431:e95763ddefb15e38c92daddcab541bee
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2122e5db96db45b40818/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab