Hallo zusammen!

Seit heute morgen zeigen mir sowohl MS Internet Explorer als auch Mozilla Firefox statt der Google-Seite eine Bit-Torrent-Tracker Seite an. In der Adresszeile steht aber weiter http://www.google.de, auch wenn ich versuche, google.COM aufzurufen.

Im HijackThis hab ich selber nichts finden können, auch nicht SpyBot S&D oder Ad-Aware

Hier das Hijack-Log:

Logfile of HijackThis v1.99.0
Scan saved at 11:09:26, on 21.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
V:\MCAFEE~1\MPFSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
V:\MCAFEE~1\MpfTray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
V:\MCAFEE~1\MpfAgent.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
V:\Creative\CTSysVol.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\WinSys.exe
V:\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
V:\NetMeter\NetMeter.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
V:\Winamp\winamp.exe
T:\Trillian\trillian.exe
V:\Firefox\firefox.exe
C:\DOKUME~1\Georg\LOKALE~1\Temp\Rar$EX00.612\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - T:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - V:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [MPFExe] V:\MCAFEE~1\MpfTray.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CTSysVol] V:\Creative\CTSysVol.exe /r
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\system32\WinSys.exe
O4 - HKLM\..\Run: [QuickTime Task] "T:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "T:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] V:\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [V:\NetMeter\NetMeter.exe] V:\NetMeter\NetMeter.exe
O4 - HKCU\..\Run: [Duden Korrektor 3.0] T:\DUDEN Korrektor\dk3tray.exe
O4 - Startup: Trillian.lnk = T:\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - T:\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://T:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - T:\GetRight\GRbrowse.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - T:\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - T:\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - T:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093081109493
O17 - HKLM\System\CCS\Services\Tcpip\..\{39C52C99-C253-4A20-95BF-C7FEA8C69B10}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host-Modul - Symantec Corporation - T:\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DirectUpdate engine - http://www.directupdate.net/ - v:\DIRECT~1\DUService.exe
O23 - Service: Machine Debug Manager - Meetinghouse Data Communications - (no file)
O23 - Service: McAfee Personal Firewall Service - McAfee Corporation - V:\MCAFEE~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WMDM PMSP Service - Logitech Inc. - (no file)

Vielen Dank schon Mal im Voraus!

Hallo,

sieht leider so aus, als ob du eine Rbot-Variante aufgeschnappt hast:

http://www.sophos.de/virusinfo/analyses/w32rbotgv.html

Verwende mal E-Scan wie beschrieben und suche dann im Log fie "Infected"-Einträge heraus:

http://www.trojaner-board.de/42731-escan-anleitung.html

Ich fürchte aber, du wirst dich mit einer Neuinstallation anfreunden müssen.

Ich scheine doch noch Glück gehabt zu haben.

Hatte den e-Scan laufen lassen, und der wusste mehr als mein AntiVir.

In den System Volume Informationenhatte sich ein "Trojan.Win32.StartPage.rr" eingenistet. durch einfaches löschen der betreffenden Dateien im abgesicherten Modus geht jetzt wieder alles.

Vielen Dank,

Georg

Hm, hast du ein Programm namens Winsys installiert? Ich weiss nicht, welche Einträge das macht, aber falls du das nicht bewusst installiert hast, solltest du

C:\WINDOWS\system32\WinSys.exe

trotzdem mal hier

http://virusscan.jotti.org/de

überprüfen lassen.

hi
vorm fixen würde ich dir raten
C:\DOKUME~1\Georg\LOKALE~1\Temp\Rar$EX00.612\HijackThis.exe
das in diese form zu bringen
C:\Programme\HijackThis\HijackThis.exe