ICh hab highjack this durchlaufen lassen und folgendes Log erhalten:



Logfile of HijackThis v1.99.0
Scan saved at 13:30:15, on 25.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
t:\stuff\norton~1\norton~1\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
T:\stuff\norton~1\Speed Disk\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\msagent\AgentSvr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re=
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - t:\stuff\norton~1\norton~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - T:\stuff\norton~1\Speed Disk\nopdb.exe
O23 - Service: AntiVir Update Temp - H+BEDV Datentechnik GmbH, Germany - C:\TEMP\_VWUPSRV.EXE


Im unteren teil stehen so sachen mit diesen % zeichen. Kann es sein das daurch meine Startseite usw. verändert wurden? Kann ich das durch highjack this irgendwie wieder beheben??

Gruss, Sebastian

Hi,
im abgesicherten Modus folgendes mit HJT fixen (nach dem scan Häkchen bei den von mir genannten Punkten machen und auf "fix checked"clicken):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=

Dann neu booten (normal) und neues Logfile posten; deine Probs sollten weg sein.
cacatoa

Ich habs genau so gemacht, aber das bleibt alles wie gehabt. Was kann ich nun tuen?

Erst mal ein neues Logfile posten.
cacatoa

Das logfile ist das gleich wie unten zu sehen! Es hat sich absolut nichts verändert!

Du hast das im abgesicherten Modus gefixt?
Glaub ich nicht.
cacatoa

Ich weis doch was ich gemacht habe!!!
Ich versichere dir das ich es so gemacht habe!

Hallo @Sebi84

Deinstalliere unter Software das Programm "MSSoft"

Öffne das Notepad, kopiere folgenden Inhalt und speichere es als fix.reg ab:

Zitat:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]

Quelle: http://help.lockergnome.com/index.php?showtopic=30266

Wechsle in den abgesicherten Modus und fixe diese Einträge nochmal:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=

Danach Doppelklick auf fix.reg, Neustart und zuguterletzt postest du ein neues HJT Log-File.

Zitat:

Zitat von Cidre

Hallo @Sebi84

Deinstalliere unter Software das Programm "MSSoft"

Öffne das Notepad, kopiere folgenden Inhalt und speichere es als fix.reg ab:

Quelle: http://help.lockergnome.com/index.php?showtopic=30266

Wechsle in den abgesicherten Modus und fixe diese Einträge nochmal:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=

Danach Doppelklick auf fix.reg, Neustart und zuguterletzt postest du ein neues HJT Log-File.

Danke für den Tipp Bei mir hats nach n paar versuchen geklappt.

aber wie kann man sich sowas denn eigentlich "einfangen"?

indem man solche seiten "ausversehen" oder per zufall wegen einem seriös aussehenden googlelink herklickt. du hast dir die das zeugs quasi selbst runtergeladen und installiert. mit browsern wie opera oder firefox passiert sowas eigentlich überhaupt nicht .