Hi zusammen,

wie bei den meisten anderen hier startet mein Internet Explorer nur noch auf der "Search the Web"Seite, wenn ich die Standardseite ändere spätestens beim nächsten Neustart des IE. Hab zunächst nach den Emfehlungen anderer Seiten zufolge Ad-Aware, Spybot und CWShredder durchlaufen lassen. Anschließend Hijack This installiert und den Empfehlungen eurer Hijack This Anleitung nach bereits einige Zeilen gefixt. Schließlich habe ich dann den e-scan runtergeladen, im abgesicherten Modus durchlaufen lassen und danach den Hijack This nochmal gestartet. Bin leider sehr, sehr ratlos und würde mich freuen, wenn ihr euch mal meinen letzten Log von anschauen könntet....

Das ist der letzte:

Logfile of HijackThis v1.98.0
Scan saved at 19:57:23, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Winzip\WZQKPICK.EXE
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\d3wx.exe
C:\WINDOWS\addot.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Adaware\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D1B2A675-458A-EE06-C3D2-3986E0634551} - C:\WINDOWS\system32\apphw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [mwavscan] "C:\Bases\mwavscan.com" /s
O4 - HKLM\..\Run: [addot.exe] C:\WINDOWS\addot.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{520359F5-0FF6-46B0-9E59-F2F64659F620}: NameServer = 217.237.151.225 194.25.2.129

Die Zeilen mit den Links: "res://ocezi.dll/index.html#22776" etc. hab ich schon ein paar mal gelöscht, erscheinen aber immer wieder.

wär euch unendlich dankbar, wenn ihr mir helfen könntet!! danke schonmal fürs reinschauen...

mfg,
(mittlerweile very) annoyed

Hi,

abgesehen von den offensichtlichen R0 & R1-Einträge
stört noch
R3
und diese 2 sind auch noch verdächtig:

O2 - BHO: (no name) - {D1B2A675-458A-EE06-C3D2-3986E0634551} - C:\WINDOWS\system32\apphw32.dll
O4 - HKLM\..\Run: [addot.exe] C:\WINDOWS\addot.exe

*

mal die Dateien mit KAV scannen und ggfs. mit HJT fixen

--> hast du vor dem bereinigen denn auch die Systemwiederherstellung ausgeschaltet !!

- hast du escan auch upgedatet ?
http://www.trojaner-board.de/forum/u...;f=24;t=000001

- probier mal sphjfix:
http://www.trojaner-info.de/anleitun...out_blank.html

Im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D1B2A675-458A-EE06-C3D2-3986E0634551} - C:\WINDOWS\system32\apphw32.dll

[ 29. Juni 2004, 22:16: Beitrag editiert von: *Christian* ]

F0 - system.ini: Shell= Bitte diesen Eintrag nicht fixen!
Das Log wurde mit der neuen Version von HijackThis erstellt. Die ist um einiges erweitert, da gilt das HijackThis-Tutorial, sowie 'meine' deutsche Übersetzung nur noch bedingt!

Später hierzu mehr....

@ alle drei, die mir geantwortet haben:

Kann nur sagen, vielen Dank, hab nach nochmaligem Scannen und Löschen ein paar weiterer Zeilen in HT endlich das erste mal Ruhe gehabt....hoffe, dass das so bleibt!

An euch drei ein dickes Dankeschön und generell Kompliment für die Seite..... für einen DAU - wie ihr das so nett formuliert - wie mich wirklich eine Riesenhilfe

Alles Gute,

happy:aplaus: