Problem mit "favoriten"

#1 Hi bin neu hier im forum und muss mich sofort mit einem problem zu wort melden und zwar
ich stellen mir als startseite im IE google ein
diese stellt sich aber immer von alleine um in eine leere seite außerdem hab ich immer 4 neue links in meinen favoriten meistens porno seiten oder andere S.....!!!
bitte um hilfe....

#2 Lade folgende Programme herunter und update sie:

HijackThis
http://www.hijackthis.de/downloads/hijackthis_199.zip
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!
Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig).


Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (komlpetter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!

Erstelle danach ein HijackThis-Log und poste es hier.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 Mon Feb 07 20:07:49 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\Temp\ICD2.tmp\inst2.dll
Mon Feb 07 20:07:49 2005 => File C:\DOKUME~1\$moky\LOKALE~1\Temp\ICD2.tmp\inst2.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:07:52 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\Temp\win43.tmp
Mon Feb 07 20:07:52 2005 => File C:\DOKUME~1\$moky\LOKALE~1\Temp\win43.tmp infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:07:52 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\Temp\win46.tmp
Mon Feb 07 20:07:52 2005 => File C:\DOKUME~1\$moky\LOKALE~1\Temp\win46.tmp infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:07:57 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\TEMPOR~1\Content.IE5\4B6VWRDB\start[1].exe
Mon Feb 07 20:07:58 2005 => File C:\DOKUME~1\$moky\LOKALE~1\TEMPOR~1\Content.IE5\4B6VWRDB\start[1].exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:35:57 2005 => Scanning File C:\WINDOWS\System32\dnsserv.exe
Mon Feb 07 20:35:57 2005 => File C:\WINDOWS\System32\dnsserv.exe infected by "Backdoor.Win32.SdBot.lt" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:36:00 2005 => Scanning File C:\WINDOWS\msg.dat
Mon Feb 07 20:36:00 2005 => File C:\WINDOWS\msg.dat infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:36:00 2005 => Scanning File C:\WINDOWS\msxmidi.exe
Mon Feb 07 20:36:00 2005 => File C:\WINDOWS\msxmidi.exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:06 2005 => Scanning File C:\WINDOWS\System32\winpfd.exe
Mon Feb 07 20:37:07 2005 => File C:\WINDOWS\System32\winpfd.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:10 2005 => Scanning File C:\WINDOWS\System32\wsass.exe
Mon Feb 07 20:37:11 2005 => File C:\WINDOWS\System32\wsass.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:13 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\Temp\F.tmp
Mon Feb 07 20:37:13 2005 => File C:\DOKUME~1\$moky\LOKALE~1\Temp\F.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:13 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\Temp\ICD2.tmp\inst2.dll
Mon Feb 07 20:37:13 2005 => File C:\DOKUME~1\$moky\LOKALE~1\Temp\ICD2.tmp\inst2.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:14 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\Temp\win43.tmp
Mon Feb 07 20:37:14 2005 => File C:\DOKUME~1\$moky\LOKALE~1\Temp\win43.tmp infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:15 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\Temp\win46.tmp
Mon Feb 07 20:37:15 2005 => File C:\DOKUME~1\$moky\LOKALE~1\Temp\win46.tmp infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:16 2005 => Scanning File C:\DOKUME~1\$moky\LOKALE~1\TEMPOR~1\Content.IE5\4B6VWRDB\start[1].exe
Mon Feb 07 20:37:17 2005 => File C:\DOKUME~1\$moky\LOKALE~1\TEMPOR~1\Content.IE5\4B6VWRDB\start[1].exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:35 2005 => Scanning File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\F.tmp
Mon Feb 07 20:37:35 2005 => File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\F.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:36 2005 => Scanning File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\ICD2.tmp\inst2.dll
Mon Feb 07 20:37:36 2005 => File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\ICD2.tmp\inst2.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:37 2005 => Scanning File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\win43.tmp
Mon Feb 07 20:37:37 2005 => File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\win43.tmp infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:37 2005 => Scanning File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\win46.tmp
Mon Feb 07 20:37:37 2005 => File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temp\win46.tmp infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:39 2005 => Scanning File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4B6VWRDB\start[1].exe
Mon Feb 07 20:37:40 2005 => File C:\Dokumente und Einstellungen\$moky\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4B6VWRDB\start[1].exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:37:48 2005 => Scanning File C:\Dokumente und Einstellungen\$moky\msg.dat
Mon Feb 07 20:37:48 2005 => File C:\Dokumente und Einstellungen\$moky\msg.dat infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:38:25 2005 => Scanning File C:\ml00!.exe
Mon Feb 07 20:38:25 2005 => File C:\ml00!.exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:38:41 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\mssw32.VIR
Mon Feb 07 20:38:42 2005 => File C:\Programme\AVPersonal\INFECTED\mssw32.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:39:31 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\SahHtml_.exe
Mon Feb 07 20:39:31 2005 => File C:\WINDOWS\Downloaded Program Files\SahHtml_.exe infected by "not-a-virus:AdWare.Sahat.i" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:39:31 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\WinStatX.dll
Mon Feb 07 20:39:31 2005 => File C:\WINDOWS\Downloaded Program Files\WinStatX.dll infected by "not-a-virus:AdWare.WinAD.t" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:40:22 2005 => Scanning File C:\WINDOWS\msg.dat
Mon Feb 07 20:40:23 2005 => File C:\WINDOWS\msg.dat infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:40:23 2005 => Scanning File C:\WINDOWS\msxmidi.exe
Mon Feb 07 20:40:23 2005 => File C:\WINDOWS\msxmidi.exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:44:31 2005 => Scanning File C:\WINDOWS\system32\winpfd.exe
Mon Feb 07 20:44:32 2005 => File C:\WINDOWS\system32\winpfd.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 07 20:44:36 2005 => Scanning File C:\WINDOWS\system32\wsass.exe
Mon Feb 07 20:44:37 2005 => File C:\WINDOWS\system32\wsass.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

das sind die von escan gefundenen und hier die von hijackthis

Logfile of HijackThis v1.99.0
Scan saved at 21:05:04, on 07.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkus32.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\dnsserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\atlie.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\$moky\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0394B35E-2AC9-655E-57E6-D9C208651426} - C:\WINDOWS\system32\sysec.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [NAV Auto Protect] dnsserv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [atlie.exe] C:\WINDOWS\atlie.exe
O4 - HKLM\..\RunServices: [system32.exe] services32.exe
O4 - HKLM\..\RunServices: [NAV Auto Protect] dnsserv.exe
O4 - HKLM\..\RunOnce: [sdkus32.exe] C:\WINDOWS\system32\sdkus32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NAV Auto Protect] dnsserv.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_100.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4958224-2ED6-464D-A351-03F596C10414}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

#4 Update dein System per www.windowsupdate.com

Gehe wieder in den abgesicherten Modus.

Fixe mit HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bvwgw.dll/sp.html#10001
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0394B35E-2AC9-655E-57E6-D9C208651426} - C:\WINDOWS\system32\sysec.dll
O4 - HKLM\..\Run: [atlie.exe] C:\WINDOWS\atlie.exe
O4 - HKLM\..\RunServices: [system32.exe] services32.exe
O4 - HKLM\..\RunOnce: [sdkus32.exe] C:\WINDOWS\system32\sdkus32.exe
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_100.exe

Weiterhin im abgesicherten Modus.
Gehe auf Start -> Ausführen -> gib in das Fenster "regedit" ein um den Windows Registrierungseditor zu öffnen.
Im Editor gehe auf Datei -> Exportieren -> speichere dadurch die komplette Registry ab (kann eine Weile dauern)

Navigiere danach im Registrierungseditor zu den folgenden Schlüsseln und lösche sie sofern vorhanden:

Zitat

HKEY_CLASSES_ROOT\CLSID\{6CC1C918-AE8B-4373-A5B4-28BA1851E39A}

HKEY_CLASSES_ROOT\WinShow.ViewSource

HKEY_CLASSES_ROOT\WinShow.ViewSource.1

HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{6CC1C918-AE8B-4373-A5B4-28BA1851E39A}

HKEY_LOCAL_MACHINE\Software\CLASSES\WinShow.ViewSource

HKEY_LOCAL_MACHINE\Software\CLASSES\WinShow.ViewSource.1

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{6CC1C918-AE8B-4373-A5B4-28BA1851E39A}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Configuration = ntsyst32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Configuration = ntsyst32.exe

HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Run\
Configuration = ntsyst32.exe
Der '*' steht hier für jeden User (Ordner) aufgeführt unter HKEY_USERS, suche in jedem dieser Unterordner nach \Software\Microsoft\Windows\CurrentVersion\Run\
Configuration = ntsyst32.exe

Weiterhin im Editor: Drücke Strg + F und suche nach den Registry-Werten
MSChoExE
Lösche auch diese sofern vorhanden. Beende danach den Editor.

Lade dir die Killbox herunter.
http://www.bleepingcomputer.com/files/killbox.php

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die von eScan erkannten infizierten Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten.

Scanne danach noch einmal mit eScan und HijackThis und poste beide Ergebnisse wie bereits oben beschrieben.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 Hallo! Ich bin auch zum ersten mal hier. Ich habe das selbe Problem wie meine Vorgängerin und habe alles soweit gemacht was ihr von Malkesh gesagt wurde. Nun habe ich den Log kopiert. Hier ist er!!! Wie komme ich nun weiter??? Kann mir jemand helfen?[color="blue"][/color]. Habe auch noch eine meldung was jedesmal in meinem anti-vir kommt...TR/Lefeat.DLL1. Warum um alles auf dieser Welt bekomme ich den Log nicht hier kopiert? Ich bin so weit gekommen...hmmm
Logfile of HijackThis v1.99.0
Scan saved at 14:08:36, on 08.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\SYSTEM32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\TGTSoft\StyleXP\StyleXPService.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AVPersonal\AVGUARD.EXE
I:\Programme\AVPersonal\AVWUPSRV.EXE
I:\WINDOWS\System32\nvsvc32.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Microsoft Hardware\Keyboard\type32.exe
I:\WINDOWS\Logi_MwX.Exe
I:\Programme\Java\jre1.5.0\bin\jusched.exe
I:\WINDOWS\System32\rundll32.exe
I:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
I:\WINDOWS\System32\sstray.exe
I:\WINDOWS\system32\appxx32.exe
I:\Programme\AVPersonal\AVGNT.EXE
I:\WINDOWS\System32\ctfmon.exe
I:\Programme\Logitech\SetPoint\KEM.exe
I:\Programme\Logitech\SetPoint\KHALMNPR.EXE
I:\WINDOWS\iein32.exe
I:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://I:\WINDOWS\system32\jjsyx.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\jjsyx.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://I:\WINDOWS\system32\jjsyx.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://I:\WINDOWS\system32\jjsyx.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\jjsyx.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\jjsyx.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\jjsyx.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C130D49F-C962-BD75-6B24-24CC50CC4248} - I:\WINDOWS\netrm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "I:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliType] "I:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "I:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [appxx32.exe] I:\WINDOWS\system32\appxx32.exe
O4 - HKLM\..\Run: [AVGCtrl] I:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [iein32.exe] I:\WINDOWS\iein32.exe
O4 - HKLM\..\RunOnce: [atldt32.exe] I:\WINDOWS\system32\atldt32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] I:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = I:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger Agent.lnk = I:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107203649703
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - I:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - I:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - I:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - I:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Workstation NetLogon Service - Unknown - I:\WINDOWS\system32\addhb.exe (file missing)

KOMISCH!!! Ich hatte die ganze Zeit einen Schlüssel in meine Favoriten und konnte nicht einfügen...nun sind die Schlüssel weg und es geht. Thank God. Vielleicht komme ich jetzt weiter. Habe nur noch Probleme mit Favoriten (Porno Links die immer wieder auftauchen). Meine Startseite geht immer wieder auf Blank und Bekomme viele Popups die immer ONLY THE BEST heissen.
__________
If at first you don't succeed, try, try again!