nicht zu entfernde spyware

#1 hi
wie im titel schon genannt hab ich n ziemliches problem mit spyware. ich hab schon ad-aware meinen gesamten rechner scannen lassen aber es hat nichts gebracht.
jetz hab ich auf anraten eines freundes mal HiJackThis n logfile erstellen lassen. wär nett wenn sich das mal einer anschaun könnte um mir bei der sache zu helfen.
schon mal vielen dank im voraus

mfg
derZeus

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\dcomcfg.exe
G:\Programme\ICQLite\ICQLite.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
G:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\SurfAccuracy\SAcc.exe
D:\WINDOWS\wjoyok.exe
G:\programme\steam\steam.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
G:\Programme\WinRar\WinRAR.exe
D:\DOKUME~1\Zeus\LOKALE~1\Temp\Rar$EX00.947\HijackThis.exe

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - D:\WINDOWS\system32\hp22F.tmp
O4 - HKLM\..\Run: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [Microsoft Wins Service] wins32.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "G:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SurfAccuracy] D:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ReJf5vH] D:\WINDOWS\wjoyok.exe
O4 - HKCU\..\Run: [Steam] "g:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [EPSON Stylus C86 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /M "Stylus C86" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = D:\Dokumente und Einstellungen\Zeus\Lokale Einstellungen\Temp\{913F8534-4ADA-4652-A0C1-41E6670AFADB}\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\ATR1.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = G:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://secure.gestrip.com (HKLM)
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://G:\Programme\Acadm 6\InstFred.ocx
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://G:\Programme\Acadm 6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://G:\Programme\Acadm 6\InstBanr.ocx
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://G:\Programme\Acadm 6\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC6280DB-99FD-40FF-B3FA-5B85EC10033A}: NameServer = 217.237.151.97 217.237.150.33
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - D:\WINDOWS\system32\vbsys2.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: AOpen NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

#2 kein Problem
das loesen wir schnell

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 die system32 datei:
Datentr„ger in Laufwerk D: ist Programme
Volumeseriennummer: 2CEE-BAFC

Verzeichnis von D:\WINDOWS\system32

25.05.2006 10:02 5.632 simpole.tlb
25.05.2006 10:02 0 stdole3.tlb
25.05.2006 10:01 25.088 hp36D6.tmp
25.05.2006 10:01 26.637 ld3527.tmp
24.05.2006 16:42 25.088 hpC03.tmp
21.05.2006 18:51 25.088 hpD777.tmp
21.05.2006 09:13 25.088 hpD853.tmp
20.05.2006 14:29 0 ansi.cfg
18.05.2006 16:37 2.262 wpa.dbl
18.05.2006 14:10 25.088 hpE397.tmp
17.05.2006 21:26 25.088 hpFD23.tmp
17.05.2006 20:36 25.088 hpD9DA.tmp
10.05.2006 15:24 25.088 hpB226.tmp
09.05.2006 15:02 25.088 hp3BCD.tmp
07.05.2006 13:35 25.088 hpE985.tmp
06.05.2006 16:24 16.736 dcomcfg.exe
05.05.2006 15:07 34.816 hp60E8.tmp
04.05.2006 14:24 4.286 ot.ico
03.05.2006 21:26 5.818.784 MRT.exe
02.05.2006 16:09 3.002 CONFIG.NT
02.05.2006 13:44 33.280 hp6D34.tmp
01.05.2006 21:14 33.280 hpE9A9.tmp
01.05.2006 15:37 33.280 hpB2CA.tmp
30.04.2006 20:19 33.280 hp7215.tmp
30.04.2006 11:00 33.280 hp5689.tmp
30.04.2006 09:44 33.280 hp6C6A.tmp
29.04.2006 21:07 30.208 hp1496.tmp
29.04.2006 12:27 30.208 hpB3F5.tmp
28.04.2006 12:16 27.648 hpEDBD.tmp
27.04.2006 20:11 14.957 regperf.exe
27.04.2006 19:50 597.504 aswBoot.exe
27.04.2006 19:42 90.112 AVASTSS.scr
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 11:25 380.486 perfh009.dat
26.03.2006 11:25 52.900 perfc009.dat
26.03.2006 11:25 391.330 perfh007.dat
26.03.2006 11:25 63.778 perfc007.dat
26.03.2006 11:25 897.954 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
11.03.2006 14:17 21.840 sintfnt.dll
11.03.2006 14:17 17.212 sintf32.dll
11.03.2006 14:17 12.067 sintf16.dll
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll


die temp datei:

Datentr„ger in Laufwerk D: ist Programme
Volumeseriennummer: 2CEE-BAFC

Verzeichnis von D:\DOKUME~1\Zeus\LOKALE~1\Temp

25.05.2006 10:07 240 datFind-1.zip
25.05.2006 10:06 240 datFind.zip
25.05.2006 10:03 16.384 ~DF7750.tmp
25.05.2006 10:03 16.384 ~DF42B5.tmp
25.05.2006 10:03 512 ~DF42D3.tmp
25.05.2006 10:02 206 jusched.log
25.05.2006 09:59 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}1346.html
7 Datei(en) 34.949 Bytes
0 Verzeichnis(se), 1.323.171.840 Bytes frei


die system datei:

Datentr„ger in Laufwerk D: ist Programme
Volumeseriennummer: 2CEE-BAFC

Verzeichnis von D:\WINDOWS

25.05.2006 10:03 0 0.log
25.05.2006 10:02 1.212.748 WindowsUpdate.log
25.05.2006 10:01 2.048 bootstat.dat
25.05.2006 09:59 32.642 SchedLgU.Txt
22.05.2006 23:19 116 NeroDigital.ini
19.05.2006 14:14 142.391 setupapi.log
14.05.2006 22:03 116.427 wmsetup.log
12.05.2006 19:05 675.766 iis6.log
12.05.2006 19:05 191.802 comsetup.log
12.05.2006 19:05 117.144 ntdtcsetup.log
12.05.2006 19:05 262.813 tsoc.log
12.05.2006 19:05 1.374 imsins.log
12.05.2006 19:05 18.788 tabletoc.log
12.05.2006 19:05 27.848 ocmsn.log
12.05.2006 19:05 11.787 KB913580.log
12.05.2006 19:05 66.306 netfxocm.log
12.05.2006 19:05 27.951 medctroc.Log
12.05.2006 19:05 274.379 ocgen.log
12.05.2006 19:05 28.119 msgsocm.log
12.05.2006 19:05 542.586 FaxSetup.log
12.05.2006 19:05 176.764 msmqinst.log
12.05.2006 19:04 27.073 updspapi.log
08.05.2006 16:46 50 wiaservc.log
08.05.2006 16:46 216 wiadebug.log
30.04.2006 10:34 293 system.ini
29.04.2006 13:14 1.722 eReg.dat
27.04.2006 20:38 9.100 mozver.dat
26.04.2006 21:28 1.374 imsins.BAK
26.04.2006 21:28 12.405 KB900485.log
26.04.2006 21:18 172.816 Directx.log
19.04.2006 20:25 3.834 ModemLog_Lucent Win Modem.txt
16.04.2006 17:12 31.065 spupdsvc.log
16.04.2006 09:51 17.040 KB908531.log
16.04.2006 09:49 16.268 KB911562.log
16.04.2006 09:45 17.888 KB912812.log
16.04.2006 09:42 13.269 KB911565.log
16.04.2006 09:40 13.287 KB911567.log
03.03.2006 10:58 14.848 wjoyok.exe
18.02.2006 18:42 10.673 KB911927.log
18.02.2006 18:42 6.530 KB911564.log
18.02.2006 18:40 6.669 KB913446.log
14.02.2006 21:38 502 ODBC.INI
14.02.2006 21:38 620 win.ini

und zu guter letzt die sys datei:

Datentr„ger in Laufwerk D: ist Programme
Volumeseriennummer: 2CEE-BAFC

Verzeichnis von D:\

25.05.2006 10:07 0 sys.txt
25.05.2006 10:07 11.601 system.txt
25.05.2006 10:07 631 systemtemp.txt
25.05.2006 10:07 109.874 system32.txt
25.05.2006 10:00 1.711.276.032 pagefile.sys

#4 derZeus

Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der registry beifuegen

*) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

--------------------------------------------------------------------------
**
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

Zitat

D:\WINDOWS\system32\simpole.tlb
D:\WINDOWS\system32\stdole3.tlb
D:\WINDOWS\system32\wins32.exe
D:\Programme\win32.dll
D:\Programme\wins32.exe
D:\Programme\SurfAccuracy\SAcc.exe
D:\Program Files\win32.dll
D:\Program Files\wins32.exe
D:\WINDOWS\system32\dcomcfg.exe
D:\WINDOWS\system32\ot.ico
D:\WINDOWS\system32\regperf.exe
D:\WINDOWS\system32\vbsys2.dll
D:\WINDOWS\wjoyok.exe

**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

**
suche: C:\!KillBox
und lösche alle dort eventuell befindlichen Dateien manuell

loesche:
D:\Programme\SurfAccuracy

**
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

boote wieder in den Normalmodus

**
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

---------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - D:\WINDOWS\system32\hp22F.tmp
O4 - HKLM\..\Run: [Microsoft Wins Service] wins32.exe
O4 - HKLM\..\Run: [SurfAccuracy] D:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [ReJf5vH] D:\WINDOWS\wjoyok.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - D:\WINDOWS\system32\vbsys2.dll

PC neustarten

**
Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 so hier is der scan report
sry dass es so lange gedauert hat. war auf kurzurlaub in paris

Spyware Scan Details
Start Date: 29.05.2006 15:49:32
End Date: 29.05.2006 17:36:58
Total Time: 1 hrs 47 mins 26 secs

Detected spyware

HotSearchbar Browser Plug-in more information...
Details: HotSearchbar, a variant of ILookup, consists of an Internet Explorer toolbar and search box. It may spawn pop-up advertising on the user's desktop.
Status: Deleted

Infected files detected
d:\windows\system32\cache32_hsrb\100hsrb.bin

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{2490A770-D039-4B60-A94D-AD22F9AC605B}
HKEY_CLASSES_ROOT\clsid\{2490A770-D039-4B60-A94D-AD22F9AC605B}\InprocServer32 D:\WINDOWS\System32\hsrb.dll
HKEY_CLASSES_ROOT\clsid\{2490A770-D039-4B60-A94D-AD22F9AC605B}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{2490A770-D039-4B60-A94D-AD22F9AC605B}\ProgID dsktrf.amo.1
HKEY_CLASSES_ROOT\clsid\{2490A770-D039-4B60-A94D-AD22F9AC605B}\TypeLib {B5921564-CA50-4D36-A088-FCA56EB57812}
HKEY_CLASSES_ROOT\clsid\{2490A770-D039-4B60-A94D-AD22F9AC605B}\VersionIndependentProgID dsktrf.amo
HKEY_CLASSES_ROOT\clsid\{2490A770-D039-4B60-A94D-AD22F9AC605B} amo Class
HKEY_CURRENT_USER\Software\_hsrb
HKEY_CURRENT_USER\Software\_hsrb\kkws Home Business 31
HKEY_CURRENT_USER\Software\_hsrb\kkws Internet 32
http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=4|Choose and Get In To Porn Sites Free!
HKEY_CURRENT_USER\Software\_hsrb\ssites 7 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=7|Click Here to Play In The Worlds Largest Poker Room.
HKEY_CURRENT_USER\Software\_hsrb\ssites 8 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=8|Click Here To See Her Uncovered!
HKEY_CURRENT_USER\Software\_hsrb\ssites 10 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=10|Click Here For Hot Sites and Pics
HKEY_CURRENT_USER\Software\_hsrb\ssites 15 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=15|Play Casino Games For Fun Or Real. Click Here for signup bonuses.
HKEY_CURRENT_USER\Software\_hsrb\ssites 16 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=16|Click Here To Remove Spyware Software That May Be On Your Computer.
HKEY_CURRENT_USER\Software\_hsrb\ssites 17 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=17|Jeans too tight? NutriSystem has real solutions for real problems. Click Here For More.
HKEY_CURRENT_USER\Software\_hsrb\ssites 18 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=18|Click Here To See Girls Take Two in The Butt - Free Trial.
HKEY_CURRENT_USER\Software\_hsrb\ssites 20 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=20|Click Here For Sports Action.
HKEY_CURRENT_USER\Software\_hsrb\ssites 21 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=21|Click Here For Full Access to 55 Sites Including Over 5 Exclusive Reality Sites
HKEY_CURRENT_USER\Software\_hsrb\ssites 22 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=22|If you like hot teen girls getting slammed on film, click here and see them for free.
HKEY_CURRENT_USER\Software\_hsrb\ssites 24 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=24|If you like hot teen lesbian chicks, click here and see full movies for free.
HKEY_CURRENT_USER\Software\_hsrb\ssites 25 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=25|Hot Big Boob Girls Click Here and See Free!
HKEY_CURRENT_USER\Software\_hsrb\ssites 27 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=27|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 28 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=28|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 29 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=29|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 30 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=30|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 31 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=31|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 32 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=32|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 33 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=33|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 34 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=34|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 35 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=35|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 36 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=36|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 37 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=37|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 38 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=38|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 39 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=39|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 40 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=40|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 41 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=41|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 42 http://www.hotsearchbar.com/cgi/v30//ezlclk.fcgi?id=42|Free Lifetime Passwords - No Charge EVER For Porn!!
HKEY_CURRENT_USER\Software\_hsrb\ssites 43 Passwords - No Charge EVER For Porn!!

das ist noch nicht alles aber ich kann nicht mehr posten

#6 nun kannst du den Rest posten
__________
MfG Sabina

rund um die PC-Sicherheit

#7 das passt immer noch nicht alles hin

ich probiers mal per anhang

-----


E2Give Adware (General) more information...
d:\WINDOWS\system32\key.~
d:\WINDOWS\system32\log.~
d:\WINDOWS\system32\data.~

SpyFalcon Rogue Security Program more information...
d:\dokumente und einstellungen\all users\startmenü\online security guide.url

Apropos
D:\Old\Programme\CxtPls\CxtPls.dll
D:\Old\Programme\CxtPls\CxtPls.exe
D:\Old\Programme\CxtPls\ProxyStub.dll
D:\Old\Programme\CxtPls\WinGenerics.dll

IBIS.WinTools Browser Plug-in
D:\Old\Programme\Gemeinsame Dateien\WinTools\WSup.exe
D:\Old\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe

#8 derZeus

aproposfix
http://swandog46.geekstogo.com/aproposfix.exe
http://virus-protect.org/artikel/spyware/apropos.html
*
lade aproposfix.exe
*
boote in den abgesicherten modus (ist wichtig)
*
klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
*
boote wieder in den normalmodus
*
dann kopiere die log.txt ab.

---------------

ueberpruefe, ob das geleoscht ist:
D:\Old\Programme\Gemeinsame Dateien\WinTools\
D:\Old\Programme\CxtPls\

---------------

poste per Anhang alle Logs
http://virus-protect.org/completbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 das:
D:\Old\Programme\Gemeinsame Dateien\WinTools\
D:\Old\Programme\CxtPls\
wurde nicht gelöscht
der log sieht folgendermasen aus:
Log of AproposFix v1.1

************

Running from directory:
G:\Eigene Dateien\Downloads\aproposfix

************



Registry entries found:


************

No service found!

Removing hidden folder:
No folder found!

Deleting files:


Backing up files:
Done!

Removing registry entries:

REGEDIT4


Done!

Finished!


und noch der anhang von CleanUp! :

#10 loeschen
D:\Old\Programme\Gemeinsame Dateien\WinTools\
D:\Old\Programme\CxtPls\

poste per Anhang alle Logs
http://virus-protect.org/completbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 habs gelöscht
dauert das eigentlich noch lange mit der sache?

#12 ich finde nichts mehr, scanne noch mal mit Counterspy, bis alles sauber bleibt.
dann sollte wieder alles o.k. sein.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 ok.
kannst du mir auf deutsch sagen was das jetz war? und vielen herrzlichen dank für die schnelle und professionelle hilfe . ich hoff ich hab nicht zu viele umstände gemach


mfg
derZeus