IE ungewollter Eintrag unter Extras

[Joshi]

Hallo zusammen,

ich habe folgende Einträge mit HijackThis ausgelesen:

O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - h**p://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - h**p://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)

Ich kann Sie mit HijackThis fixen, aber sie sind nach einem Reboot wieder vorhanden. Kann leider nicht finden, welche Programm die Einträge wieder reaktiviert.
Kann mir da vielleicht jemand einen Tipp geben.

Danke und Gruß
Joshi

[Speedy]

hi

hijackthis löschen, download HijackThis-selfinstall, installieren, dann sieht das so aus C:\Programme\Hijackthis\Hijackthis.exe , starte das programm und erstelle ein neues logfile, poste den inhalt im vb-code.

das schaun wir dann an, keine auszüge

[Joshi]

Wie gewünscht der komplette Inhalt des Logfiles:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 16:54:18, on 30.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
E:\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\ctfmon.exe
E:\AVPERSONAL\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ttsg-wittlich.de/
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ussshreg] e:\ULEADW~1\Ussshreg.exe /r
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SmcService] E:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [StormCodec_Helper] "E:\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All Files by HiDownload - E:\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - E:\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105271176015
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Sygate\SPF\smc.exe

Gruss
Joshi

[Speedy]

hi
downlaod von regsuprem 30 tage trialversion
installiere das programm
starte das programm -> language -> german auswählen, beenden

wechsle in den abgesicherten modus von windows: PC einschalten, warten bis die meldung "windows wird gestartet..." am bildschirm erscheint, nun drücke sofort die taste [F8]. es erscheint ein start-menü im textmodus. wählen hier "abgesichert" bzw. "abgesicherter modus" und bestätigen dies mit der [eingabe]-taste. win95 win98/ME win2000 winxp und fixe mit HijackThis die nachfolgenden einträge


O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)

starte regsuprem
um die bereinigung der registrierdatenbank zu .... -> bestätigen !
wähle bei untersuchung zuerst gründlich und drücke den button start
wähle nun beheben und gib der sicherungsdatei einen aussagekräftigen namen
beende das programm

neustart -> erstelle ein aktuelles hijackthis-logfile und postet es!

sollte der eintrag neuerlich vorhanden sein, arbeite zuers das ab und poste danach, mit den hier angeforderten logfiles das aktuelle hjt-logfile->

download von ewido, installieren, update ziehen, im abgesicherten modus bei deaktivierter systemwiederherstellung das system scanen und bereinigen lassen, bericht posten.

downlaod den ccleaner, installieren, starten -> unter options settings -> german einstellen, nun bereinige damit dein system (windows, applications, registry) (quick-tour und screenshots), die temp. ordner überprüfen, notfalls im abgesicherten modus leeren, mistküble leeren
downlaod von datfindbat, führe es nach anleitung aus und poste den inhalt der erstellten logfiles (das werden 4 stück, wobei von c:\windows\system32 nur die letzten 30 tage gepostet werden sollten)

[Joshi]

Ok, wie beschrieben habe ich alles durchgeführt. Der Eintrag ist immer noch vorhanden. Hier die Logs:

Log nach HJT + regsuprem:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 18:15:39, on 30.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
E:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTsvcCDA.exe
E:\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
E:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ttsg-wittlich.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ussshreg] e:\ULEADW~1\Ussshreg.exe /r
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SmcService] E:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [StormCodec_Helper] "E:\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All Files by HiDownload - E:\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - E:\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105271176015
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Sygate\SPF\smc.exe

Log von ewido:

Code:

---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:		19:02:08, 30.12.2005
 + Report-Checksumme:	B9D56C51

 + Scanergebnis:

	C:\Dokumente und Einstellungen\Joerg\Cookies\joerg@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Joerg\Cookies\joerg@axa.addcontrol[2].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Joerg\Cookies\joerg@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Joerg\Cookies\joerg@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Joerg\Cookies\joerg@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Joerg\Lokale Einstellungen\Temp\Cookies\joerg@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
	C:\Dokumente und Einstellungen\Joerg\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XA5GV0P\mm[2].js -> Spyware.Chitika : Gesäubert mit Backup
	E:\cleaner\backup-20051022-122414-417.dll -> Dialer.Generic : Gesäubert mit Backup


::Report Ende

Logs von datfindbat:

Code:

30.12.2005  18:05                 5 AuxDrv32ds_g.ods
30.12.2005  18:05                 5 SndDrv32ds_g.ods
30.12.2005  15:14                 0 asfiles.txt
30.12.2005  15:11             2.550 Uninstall.ico
30.12.2005  15:11             1.406 Help.ico
30.12.2005  15:11             1.718 Open.ico
30.12.2005  15:11             5.350 IE.ico
30.12.2005  15:11             9.470 Desktop.ico
30.12.2005  15:11             1.718 Quick.ico
30.12.2005  12:12             2.206 wpa.dbl
30.12.2005  12:12           146.016 FNTCACHE.DAT
30.12.2005  05:24                 3 dxva_sig.txt
29.12.2005  22:02            43.520 CmdLineExt03.dll
28.12.2005  02:02             7.006 jupdate-1.5.0_06-b05.log
12.12.2005  07:44           307.200 atiiiexx.dll
12.12.2005  07:01           258.048 ATIDEMGR.dll
12.12.2005  06:09         6.684.672 atioglx1.dll
12.12.2005  04:57         4.968.448 atioglxx.dll
12.12.2005  04:41           252.928 ati2dvag.dll
12.12.2005  04:35           110.592 atipdlxx.dll
12.12.2005  04:35            77.824 Oemdspif.dll
12.12.2005  04:35            26.112 Ati2mdxx.exe
12.12.2005  04:35            40.960 ati2edxx.dll
12.12.2005  04:34            47.104 ati2evxx.dll
12.12.2005  04:33           393.216 ati2evxx.exe
12.12.2005  04:33            53.248 ATIDDC.DLL
12.12.2005  04:25         2.518.016 ati3duag.dll
12.12.2005  04:18           862.464 ativvaxx.dll
12.12.2005  04:04           151.552 atikvmag.dll
12.12.2005  03:39            17.408 atitvo32.dll
12.12.2005  03:33           237.568 ati2cqag.dll
11.12.2005  21:05           520.192 ati2sgag.exe
08.12.2005  23:01           112.421 atiicdxx.dat
28.11.2005  16:43             6.024 atifglpf.xml

Code:

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 7C3C-40EB

 Verzeichnis von C:\DOKUME~1\Joerg\LOKALE~1\Temp

Code:

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 7C3C-40EB

 Verzeichnis von C:\WINDOWS

30.12.2005  19:14             2.790 ntbtlog.txt
30.12.2005  18:31             2.048 bootstat.dat
30.12.2005  15:14               642 win.ini
30.12.2005  05:34               116 NeroDigital.ini
29.12.2005  13:26             1.409 QTFont.for
29.12.2005  13:26            54.156 QTFont.qfn
27.12.2005  13:32                52 videodeLuxe.INI
18.12.2005  17:08               740 ULead32.ini

Code:

 Datentr„ger in Laufwerk C: ist System
 Volumeseriennummer: 7C3C-40EB

 Verzeichnis von C:\

30.12.2005  19:15                 0 sys.txt
30.12.2005  19:14             5.241 system.txt
30.12.2005  19:14               126 systemtemp.txt
30.12.2005  19:12           114.362 system32.txt
30.12.2005  18:31     1.610.612.736 pagefile.sys

abschliessendes HJT Log:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 19:20:18, on 30.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
E:\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
E:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\temp22\programme\ewido anti-malware\ewidoctrl.exe
D:\temp22\programme\ewido anti-malware\ewidoguard.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
E:\Hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ttsg-wittlich.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ussshreg] e:\ULEADW~1\Ussshreg.exe /r
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SmcService] E:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [StormCodec_Helper] "E:\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All Files by HiDownload - E:\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - E:\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105271176015
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - D:\temp22\programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\temp22\programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Sygate\SPF\smc.exe

Schon mal danke für die Mühen.
Falls du nicht weiter kommen solltest, werde ich den Rechner platt machen und neu installieren. Aber die Arbeit würde ich mir natürlich auch gerne sparen

Joshi

[Joshi]

Hallo,

ich habe den Übeltäter gefunden. Folgender Eintrag war verantwortlich:

O4 - HKLM\..\Run: [StormCodec_Helper] "E:\Storm Codec\StormSet.exe" /S /opti

Ich danke dir für die Mühen.

Gruß
Joshi

[Speedy]

hi, hast du die datei schon gelöscht ?

E:\Storm Codec\StormSet.exe

wenn nein, diese dateien bitte hier zur überprüfung und weiterleitung an über 40 hersteller von antivirensoftware hochladen

[Joshi]

Sorry habe die sofort gelöscht Ich schau mal nach, ob ich den Downloadlink nochmal finde.

[Speedy]

hi, wenn nicht, geht die welt auch nicht unter, wird schon wieder mal jemand mit der selben infection kommen.

hast du die registry gesäubert ? -> lege diesen ordner C:\programme\regseeker an, download von regseeker in diesen ordner, entpacke nun das programm genau hier. starte nun das tool und wähle unter languages -> deutsch, und sichern vor löschen aktivieren. nun lass damit die registry bereinigen. oder vorher unter suche folgendes eingeben -> findest du was ?

• StormSet.exe
• Ò×Ȥ¹ºÎï
• DE60714F-AC17-427e-861A-FD60CBDF119A