Hallo!
Wie einige andere habe ich auch das lästige Problem, dass - trotzdem der Mozilla Firefox mein Standardbrowser ist - der Internet Explorer sich öffnet und so nervige Seiten wie cpvfeed.com, partypoker, abc search etc. angezeigt werden.

Nun wende ich mich genervt, hilflos und verzweifelt an euch:
1.) Wie kann ich dem ein Ende bereiten?
2.) Wie kommt so etwas (ein Trojanisches Pferd?) denn überhaupt auf meinen Rechner?

Also, vielen Dank für eure Hilfe, ich warte auf eure Instruktionen
Allerdings kenne ich mich pc-technisch nicht wirklich aus...

Danke trotzdem,
ein verzweifelter Martin

poste mal ein HJT Logfile, das Programm bekommst Du hier.
Bata

Logfile of HijackThis v1.99.1
Scan saved at 13:27:20, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\MSTMON_N.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\VisualTooltip\VisualToolTip.exe
C:\WINDOWS\retadpu2000352.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\WinTouch\WinTouch.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\nvvdj.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\WinPop\winpop.exe
C:\Programme\Words\Words.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://***.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.windowsxlive.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.windowsxlive.net
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D2933202228B2B092EAD1B90C8EF456B4CEF4731119553B686D276527799385672FA14 E1DCD66A47
O4 - HKLM\..\Run: [WinTouch] C:\Programme\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [SfKg6w] C:\WINDOWS\nvvdj.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WinPop] C:\Programme\WinPop\winpop.exe
O4 - HKCU\..\Run: [Words] C:\Programme\Words\Words.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://***.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://***.aldi.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Lass diese Dateien bei Virustotal überprüfen:
VirusTotal - Free Online Virus and Malware Scan , sollte der Server nicht funtzen, dann bei Jotti: Online malware scan
(Datei ins weisse Fensterchen kopieren, auf "send/submit" klicken. Komplettes Ergebnis posten
C:\WINDOWS\retadpu2000352.exe
C:\WINDOWS\nvvdj.exe
Desweiteren hast Du auch so noch einige unbekannte Programme am laufen.
Hast Du eigentl. eine Firewall ? Hab jetzt im ersten Überflug keine finden können.

Den gleichnamigen 04-er Eintrag mit dem Zahlengewirr erst einmal nicht fixen weil dieser direkt unter Windows läuft. Gucken erst einmal was der scan bringt.
Lade Dir noch zusätzlich nützliche Progs wie Spybot und ad-aware herunter:
Die Seite von Spybot-S&D!
Ad-aware - Download
Updaten und scannen lassen!

Je mehr ich mir Dein Log ansehen, desto mehr will ich Dir raten den Rechner neu zu installieren.

Aber wir können es ja mal versuchen.

die folgenden Dateien mal bei VirusTotal - Free Online Virus and Malware Scan scannen lassen und das Ergebnis hier posten.

C:\WINDOWS\nvvdj.exe
C:\WINDOWS\retadpu2000352.exe

Dann die Dateien

C:\WINDOWS\retadpu2000352.exe
C:\Programme\WinTouch\WinTouch.exe
C:\WINDOWS\nvvdj.exe
C:\Programme\WinPop\winpop.exe
C:\Programme\Words\Words.exe

löschen (Killbox verwenden)

Jetzt mit HJT im abgesicherten Modus diese Einträge fixen:


O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D2933202228B2B092EAD1B90C8EF456B4CEF4731119553B686D276527799385672FA14 E1DCD66A47
O4 - HKLM\..\Run: [WinTouch] C:\Programme\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [SfKg6w] C:\WINDOWS\nvvdj.exe
O4 - HKCU\..\Run: [WinPop] C:\Programme\WinPop\winpop.exe
O4 - HKCU\..\Run: [Words] C:\Programme\Words\Words.exe

Neu booten, neues HJT Log hier posten.

Bata

OK, Virustotal sagt mir zu nvvdj.exe:
0 bytes size received / Se ha recibido un archivo vacio

und virusscan.jotti.org sagt mir dazu:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

und zu retadpu2000352.exe sagt Virustotal folgendes:

File retadpu2000352.exe received on 07.22.2007 15:16:39 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.22 Win32:Agent-HKJ
AVG 7.5.0.476 2007.07.21 Downloader.Agent.NLE
BitDefender 7.2 2007.07.22 no virus found
CAT-QuickHeal 9.00 2007.07.20 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.22 no virus found
DrWeb 4.33 2007.07.22 no virus found
eSafe 7.0.15.0 2007.07.19 suspicious Trojan/Worm
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.22 Downloader.Agent.bls
FileAdvisor 1 2007.07.22 no virus found
Fortinet 2.91.0.0 2007.07.22 W32/Agent.BLS!tr.dldr
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.22 Trojan-Downloader.Win32.Agent.bls
Ikarus T3.1.1.8 2007.07.22 Trojan-Downloader.Win32.Agent.bls
Kaspersky 4.0.2.24 2007.07.22 Trojan-Downloader.Win32.Agent.bls
McAfee 5079 2007.07.20 Downloader-BCF
Microsoft 1.2704 2007.07.22 BrowserModifier:Win32/Matcash
NOD32v2 2411 2007.07.21 a variant of Win32/TrojanDownloader.Agent.BLS
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.22 Suspicious file
Sophos 4.19.0 2007.07.17 Mal/HckPk-D
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.22 no virus found
TheHacker 6.1.7.151 2007.07.22 Trojan/Downloader.Agent.bls
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 Trojan.DL.Agent.UJX
Webwasher-Gateway 6.0.1 2007.07.22 Trojan.Crypt.ULPM.Gen
Additional information
File size: 39424 bytes
MD5: 29a2d4fbc59484ceacfde797dd437156
SHA1: c69f0a8bb729879cc5962ab608871c16fd2050ce
packers: UPX
packers: UPX
packers: UPX

Gehe zu dem Ordner C:\WINDOWS\
Suche dort die nvvdj.exe
Kopiere sie auf das Desktop
Bennen sie um, z.b. in Virus.exe
Lade die Virus.exe bei Virustotal hoch und lasse diese Auswerten!
Poste auch hier das gesamte Ergebnis!
Danach die Datei wieder löschen.

Ansonsten vorgehen, wie beschrieben

Bata