Logfile of HijackThis v1.98.0
Scan saved at 18:21:36, on 18.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\firewal1.exe
C:\WINNT\system32\zonealarm.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\msconfg.exe
C:\WINNT\system32\CTFMONSS.EXE
C:\WINNT\system32\CSRSSW.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\CTFMONSS.EXE
C:\WINNT\system32\CSRSSW.EXE
C:\Programme\a2\a2guard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Privat\LOKALE~1\Temp\Rar$EX00.557\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINNT\wtlbass32.dll
O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINNT\system32\duzijuv.dll
O2 - BHO: (no name) - {F337842F-13D8-80CE-3FFC-2EFAF847EDB0} - C:\WINNT\system32\ioooyor.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Windows Firewall] firewal1.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe
O4 - HKLM\..\RunServices: [Windows Firewall] firewal1.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Windows Firewall] firewal1.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKCU\..\Run: [fontsub] C:\WINNT\system32\fontsub.exe
O4 - HKCU\..\Run: [msvcrt20] C:\WINNT\system32\msvcrt20.exe
O4 - HKCU\..\Run: [CTFMONSS] C:\WINNT\system32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINNT\system32\CSRSSW.EXE
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CC796BA-986C-46DF-AD80-A89173729496}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE7F3BAD-645B-443B-AA03-79A1C07BFBB5}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1EE77D2-3E49-48AD-BE6E-596AC3539058}: NameServer = 69.50.188.180 195.225.176.31

.

Die auswertung von http://www.hijackthis.de/index.php :

http://www.hijackthis.de/logfiles/82afbf77df9cb76f0bf06f79d5d3614e.html

Also spybot search&destroy, ad-aware mal drüberlaufen lassen, antivieren software installen/updaten und dann nochmals kontrollieren.

mmm...

Böse, Trojaner, kannst versuchen, sie im Taskmanager abzuschießen:
C:\WINNT\system32\firewal1.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\msconfg.exe
C:\WINNT\system32\zonealarm.exe <-- ZoneAlarm?

Unbekannt, scheint auch böse zu sein:
C:\WINNT\system32\CTFMONSS.EXE
C:\WINNT\system32\CSRSSW.EXE
C:\WINNT\system32\CTFMONSS.EXE
C:\WINNT\system32\CSRSSW.EXE

Hö? Freier Malwarescanner?
C:\Programme\a2\a2guard.exe

Einträge löschen:
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank


Scheint böse zu sein:
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINNT\wtlbass32.dll
O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINNT\system32\duzijuv.dll
O2 - BHO: (no name) - {F337842F-13D8-80CE-3FFC-2EFAF847EDB0} - C:\WINNT\system32\ioooyor.dll

Kannst löschen, scheint ein sinnloser Eintrag zu sein:
O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)

O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Windows Firewall] firewal1.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe <--- ZoneAlarm??? dürfte es nicht sein
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe
O4 - HKLM\..\RunServices: [Windows Firewall] firewal1.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe <-- ZoneAlarm??? dürfte es nicht sein
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Windows Firewall] firewal1.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] zonealarm.exe

Hö? Was ist das?
O4 - HKCU\..\Run: [fontsub] C:\WINNT\system32\fontsub.exe
O4 - HKCU\..\Run: [msvcrt20] C:\WINNT\system32\msvcrt20.exe
O4 - HKCU\..\Run: [CTFMONSS] C:\WINNT\system32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINNT\system32\CSRSSW.EXE

??? Die hast du installiert?
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"

Sicher, dass du dieses File haben willst?
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab

Bei welchem Provider bist du? ansonsten sind diese Einträge falsch ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CC796BA-986C-46DF-AD80-A89173729496}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE7F3BAD-645B-443B-AA03-79A1C07BFBB5}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1EE77D2-3E49-48AD-BE6E-596AC3539058}: NameServer = 69.50.188.180 195.225.176.31Alles, was ich an .exe und .dll markiert habe, kannst du im Prinzip einmal als .zip packen und dann mal bei Antivir (http://www.antivir.de/de/support/verdaechtige_dateien/index.html) hochladen und als Text die markierten Einträge als Text mitgeben (wenn du deine Email- Addi da nicht angeben willst, kannst auch meine angeben: lokadamus@gmx.de ). Welchen Virenscanner benutzt du eigentlich? Router oder PFw? Outlook, Outlook Express und IE oder Thunderbird und Firefox? ... würde eine Formatierung in Betracht ziehen, dein System ist wohl nicht mehr ganz in Ordnung ...