nun hab noch einmal mit HijackThis gescannt,
er findet einen Eintrag: SearchIt, Dateiname: dc1.ocx

ein Suchen in der Registry fand jetzt unter HKEY_LoKAL_Maschine/Software/Classes/ einen Ordner ohne Namen nur mit einem Stern versehen,
hierdrin einen Ordner Shellex/ darin einen Ordner: ContextMenuHandlers/ darin ist der Ordner WinRar markiert, in diesem ein Standart Wert; Typ Reg_SZ danach eine Zahlenkolonne (B41DB860-8EE4...usw.

ob ich dieses mal lösche ???

Es gibt nur eine Version von HijackThis, und das ist Freeware.
Diese entfernt Registry-Einträge, indem man nach dem Scannen "Fix checked" klickt und das System neu startet.
Den Eintrag "SearchIt, Dateiname: dc1.ocx" auf die o.g. Weise entfernen.
Da dürfte allerdings noch mehr zu finden sein, denn die .ocx-Datei ist nur das ActiveX-Control.

Wie gesagt, der einfachste Weg ist noch immer das Posten des Logs.
Wenn du das nicht tun willst, auch o.k., dann mußt du eben selber nochmal das Scanergebnis durcharbeiten.
Tipp hierzu: Google.

Also ne...
Nochmal genauer:
HijackThis entfernt Registry-Einträge, indem man nach dem Scannen die zu entfernenden Einträge mit einem Häkchen versieht, dann "Fix checked" klickt, und dann das System neu startet.

oh, sorry sPaCeLoRd, glaub jetzt hab ich einen Fehler gemacht, hab hier den Scanner AluriaSpywareScanner, ist wohl nicht der Hijackthis ?

hier nun das Ergebnis:

Logfile of HijackThis v1.96.4
Scan saved at 22:03:43, on 05.09.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security Professional\IAMAPP.EXE
C:\WINDOWS\twain_32\A4S2600X\WATCH.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security Professional\NISSERV.EXE
C:\Programme\Norton Internet Security Professional\SymPxSvc.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Müll\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-board.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security Professional\IAMAPP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2600X\WATCH.exe
O4 - Global Startup: NoPopUp 2001 (minimiert).lnk = C:\Programme\NoPopUp 2001\nopopup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: Yahoo! Chat - http://cs6.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...or/sw-intl.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v43/yacscom.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://www.office.microsoft.com/prod...ntent/opuc.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...863.0828240741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D99574BF-0DC7-4D0B-8CD7-DBBE0E9CAC4F}: NameServer = 62.225.253.9 194.25.2.129

ich entdecke hier keine Dateien ähnlich einem Namen mit: Sergey7/offshoreclicks"
wat nun

Nee, Hijacker-mäßiges ist da nicht zu entdecken.

Du hattest also auch Spybot S&D angewendet, Temporary Internet Files und Cookies gelöscht und die Systemwiederherstellung deaktiviert, und das Problem ist immer noch vorhanden ?

Kaum zu glauben...

Letztes radikales Mittel wäre dann vielleicht eine Komplettreinigung (inkl. index.dat-Löschung) mit Tracks Eraser Pro.

http://www.acesoft.net/download.htm
(15-Tage-Testversion - voll funktionsfähig)

so, hab jetzt die Radikaltour hinter mir [img]graemlins/crazy.gif[/img]

erste "Internetberührung" war normal, d.h. keine Veränderung der IE Startseite [img]graemlins/huepp.gif[/img]

hoffentlich bleibt's so

...so eine Sche... [img]graemlins/kloppen.gif[/img]

nun ist wieder alles beim alten...
so langsam krieg ich das [img]graemlins/heulen.gif[/img]
sämtliche Tool's bleiben ohne Wirkung, wie kann das sein

</font><blockquote>Zitat:</font><hr />Original erstellt von Ufo:
ich entdecke hier keine Dateien ähnlich einem Namen mit: Sergey7/offshoreclicks"
wat nun </font>[/QUOTE]es ist kein Wunder. Es sind keine Dateien, sondern Registry-Einträge. Suche nach "serg", dann "offshore", dann noch 'ne Buchstabenreihe! Bei JV16 gibt es Registry-Finder! Wenn du nix findest, ist dein IE verhext : Lade mal www.firebird-browser.de herunter und vergiss alles wie ein Albtraum.
NACHTRAG: Wollte sofort fragen, dann habe vergessen : Welches Tool will das Vieh installieren? Mit welcher Seite wird eingentlich gestartet? Bitte kein Link posten, sondern h**p://www.dingsbums.com

[ 06. September 2003, 22:25: Beitrag editiert von: Rene-gad ]

so, hab jetzt mal den JV RegistryFinder angeschmissen, nichts zu finden von sergey oder offshoreclicks [img]graemlins/crazy.gif[/img]

Startseiten sind zwei verschiedene:
eimal/ sergey7.offshoreclicks.com/dialup/activeX.php
und/ network.nocreditcard.com

installiert werden soll eine 55500725.exe von Niteline Media
oder/und ein InstantAccess von Electronic Group

achso, das mit dem Firebird Browser ist klar, hab ihn auf meinem anderen Rechner auch laufen, ist jetzt jedoch hier keine Problemlösung....

[img]graemlins/huepp.gif[/img] das Problem scheint gelöst zu sein [img]graemlins/huepp.gif[/img]

habe gestern mit dem Prog "PestPatrol" auch noch einmal gescannt und siehe da, es fand sich ein Hijacker mit Namen "RedLabel" ,
versteckt unter C:\Windows\System32\RedLabel.scr
hatte sich also als SreenSaver getarnt, dieses Miestvieh

nachdem ich diesen gelöscht [img]tongue.gif[/img] habe ist heute bisher Ruhe gewesen

Was ist eigentlich unter einem Hijacker zu verstehen? Ein Sabotagetool?

Sabotagetool ist eigentlich schon ganz gut getroffen [img]graemlins/aplaus.gif[/img] für ein Tool oder Prog
das sich als "Bildschirmschoner" ausgibt aber gar keiner ist..... [img]graemlins/pfui.gif[/img]