Hallihallo, da ich mir jetzt keinen Rat mehr wusste, poste ich nun mal mein Problem hier rein! In meiner Registry (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains) stehen zahlreiche mysteriöse Web-Seiten z.B. 2020search.com etc., diese stehen auch in den Internetoptionen unter Sicherheit (Eingeschränkte Seiten)! Nun lösche ich diese ganzen Seiten aus der Registry und irgendwann später sind die alle wieder da? Spybot hab ich durchlaufen lassen, alles sauber, auch Viren sind keine da!

Ich verzweifle hier fast!!! Wäre froh über eine Antwort!

bitte mach mal ein HJT log und poste es hier
probier auch die anderen tools die lutz bereits in seinem artikel beschrieben hat
darunter adaware cws-schredder ...

Ich glaube, ich hatte einen kleinen Denkfehler, beim Immunisieren in Spybot werden doch die ganzen Websites in den eingeschränkten Bereich der Internetoptionen kopiert. Und die gleichen Sites stehen nun auch in der Registry unter ZoneMap\Domains. Demzufolge ist das nur eine Vorsichtsmaßnahme von Spybot, oder sehe ich das falsch?

In der Hoffnung, dass jetzt alles clean ist, hier mein hijackthis.log file:

Wäre fein, wenn da mal einer schauen würde, ob alles okay ist! Danke!

Logfile of HijackThis v1.97.7
Scan saved at 16:35:57, on 23.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE
C:\PROGRAMME\0190WARNER\WARN0190.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\EIGENE DATEIEN\INSTALATIONEN\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ACROBATREADER 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE4.76\PROGRAM\PLUGINS\npswf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

</font><blockquote>Zitat:</font><hr />Original erstellt von Fauli:
Ich glaube, ich hatte einen kleinen Denkfehler, beim Immunisieren in Spybot werden doch die ganzen Websites in den eingeschränkten Bereich der Internetoptionen kopiert. Und die gleichen Sites stehen nun auch in der Registry unter ZoneMap\Domains. Demzufolge ist das nur eine Vorsichtsmaßnahme von Spybot, oder sehe ich das falsch?</font>[/QUOTE]Nein, das siehst du vollständig richtig.

Edit: aber dein LogFile ist nicht ok, mehr dazu gleich.

Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Das ist nicht aktuell! Dringend updaten, und zwar mittels Besuchs mit dem IE bei: http://windowsupdate.com

Bitte auch zukünftig regelmäßig machen, also nicht nur einmal heute und dann nie wieder.

Running processes:
C:\WINDOWS\SYSTEM\SSDPSRV.EXE

Das ist kein (!) Trojaner, aber der hierdurch geöffnete Port sollte durch Beenden dieses "Dienstes" geschlossen werden:
http://www.trojaner-info.de/report_port5000.shtml

In HijackThis markieren, dann Fix checked wählen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =


Weitere Empfehlung: Browser wechseln, und auch diesen regelmäßig updaten. Mozilla Firefox bietet dazu ab Version 0.9 auch einen komfortablen Smart-Updater:

http://mozilla-europe.org/de

Sehr gut, die Fehler sind behoben! Aber der Update-Link geht nicht.

Doch, mit dem IE sollte er aufgerufen werden:

http://windowsupdate.microsoft.com

[ 24. Juni 2004, 17:09: Beitrag editiert von: mmk ]

Ich hab meinen IE jetzt mal geupdatet auf 5.51 SP2 (da ich den IE 6 nicht möchte) Der hijack-file zeigt das Update nun auch an, aber beim IE unter Info steht aber die Version 5.50.4807.2300 -warum?

Logfile of HijackThis v1.97.7
Scan saved at 16:51:13, on 24.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\0190WARNER\WARN0190.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\EIGENE DATEIEN\INSTALATIONEN\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ACROBATREADER 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\Programme\0190warner\whelper1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE4.76\PROGRAM\PLUGINS\npswf32.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...161.3553009259