Virenscan mit AntiVir war negativ. Browser und alle anderen Programme waren geschlossen.
Mittlerweile konnte ich die beiden Tools laufenlassen, nachdem ich einen Prozess gekillt habe vor dem Start von HJT bzw. CWS. Hier mal kurz das log-File von HJT:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://smartsearch.ws/?q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://smartsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://smartsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL =
http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer,Search =
http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,Search =
http://smartsearch.ws/?q=
F1 - win.ini: load=C:\TBridge\Flatbed.exe
N1 - Netscape 4: user_pref(browser.startup.homepage,
www.yahoo.de); (C:\anwendungen\Netscape\Users\sina\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [AVGCtrl] F:\ANWENDUNGEN\ANTIVIR_V6\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [coolwebprogram] C:\WINDOWS\SYSTEM32\DIRECTX.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICON\AOLMIcon.exe
O4 - HKCU\..\Run: [coolwebprogram] C:\WINDOWS\SYSTEM32\DIRECTX.EXE
O4 - HKCU\..\RunServices: [AOLMIcon] C:\WINDOWS\ICON\AOLMIcon.exe
O4 - HKCU\..\RunServices: [coolwebprogram] C:\WINDOWS\SYSTEM32\DIRECTX.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - User Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - User Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~1\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: MSN Messenger Service (HKLM)
O12 - Plugin for .swf: C:\ANWENDUNGEN\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .PDF: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O13 - DefaultPrefix:
http://smartsearch.ws/?q=
O13 - WWW Prefix:
http://smartsearch.ws/?q=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38004.4938541667
Ich habe dann die ganzen R0 bzw. R1 Einträge und O13 gelöscht und danach CWS laufen lassen, das noch 2 Einträge repariert hat. Ein Run mit Adaware hat dann auch noch ein paar schlechte Dinge gefunden, die ich auch repariert habe.
Aber: nach jedem Neustart geht es wieder von vorne los. Habe ich evtl. in HJT vergessen etwas zu löschen oder doch einen Virus?
McBayes
