Hallo,
Ich habe folgendes Problem :

Vor gut zwei Tagen ist mir beim surfen aufgefallen, dass sich die Schriftgröße im Firefox Browser verändert hat. Habe mir da erstmal nichts bei gedacht und die Schriftgröße zurückgestellt. Als ich dann über Google etwas suchen wollte bemerkte ich eine längere Ladezeit und bei den Suchergebnissen (egal was ich eingegeben hatte) immer Links die als erstes angezeigt wurden und zu sehr komischen Seiten wie z.B.: "Bediddle" führten.
Habe Antivir und AD-Aware durchsuchen lassen aber bei beiden kein Fund!

Bin dann auf Problembehebungssuche gegangen und mir wurde diese Seite empfohlen

Hijacks hat das ausgespuckt :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:54:44, on 22.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\phonostar\ps_timer.exe
c:\programme\antivir personaledition classic\avscan.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://w*w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinCinema Manager.lnk = C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

--
End of file - 5221 bytes



Würde mich freuen wenn jemand das Problem findet !
Ansonsten noch eine schöne Weihnachtszeit

Hmm ... könnte vielleicht irgend jemand das HiJack Protokoll auswerten?, ist ja nun wirklich nicht so lang

Hallo Cosmix,

auf die schnelle habe ich nichts Verdächtiges gefunden.

Mache folgendes:

Zitat:

Gehe zu :
windows/system32/drivers/etc

Öffne die Inhalte mit einem Editor und poste sie hier.

Viele Grüsse

Björn

Zitat:

ICQLite.exe(file missing)

scanne mal bei VirusTotal

könnte sich was angehängt haben

Erstmal Danke für deine Hilfe JoeAlz

Habe noch mit Malware durchgesucht dabei kam das raus :

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1535
Windows 5.1.2600 Service Pack 2

23.12.2008 12:05:29
mbam-log-2008-12-23 (12-05-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 110386
Laufzeit: 56 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\sysaudio.sys (Rootkit.Agent) -> No action taken.

... die sysaudio.sys natürlich sofort gelöscht und nochmal mit HiJacks drüber :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:08:36, on 23.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=h**p://w*w.arcor.de]DSL Flatrate, DSL Tarife, DSL Angebote von Arcor
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.arcor.de]DSL Flatrate, DSL Tarife, DSL Angebote von Arcor
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://w*w.arcor.de]DSL Flatrate, DSL Tarife, DSL Angebote von Arcor
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.arcor.de]DSL Flatrate, DSL Tarife, DSL Angebote von Arcor
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = **p://w*w.arcor.de]DSL Flatrate, DSL Tarife, DSL Angebote von Arcor
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinCinema Manager.lnk = C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

--
End of file - 4763 bytes

so und jetzt zu den Dateien in etc (sry wegen Doppelpost) aber dann sieht es vielleicht ein bisschen übersichtlicher aus

-services:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.
#
# Format:
#
# <Dienstname> <Portnummer>/<Protokoll> [Alias...] [#<Kommentar>]
#

echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Active users
systat 11/tcp users #Active users
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Quote of the day
qotd 17/udp quote #Quote of the day
chargen 19/tcp ttytst source #Character generator
chargen 19/udp ttytst source #Character generator
ftp-data 20/tcp #FTP, data
ftp 21/tcp #FTP. control
telnet 23/tcp
smtp 25/tcp mail #Simple Mail Transfer Protocol
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource #Resource Location Protocol
nameserver 42/tcp name #Host Name Server
nameserver 42/udp name #Host Name Server
nicname 43/tcp whois
domain 53/tcp #Domain Name Server
domain 53/udp #Domain Name Server
bootps 67/udp dhcps #Bootstrap Protocol Server
bootpc 68/udp dhcpc #Bootstrap Protocol Client
tftp 69/udp #Trivial File Transfer
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http #World Wide Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #NIC Host Name Server
iso-tsap 102/tcp #ISO-TSAP Class 0
rtelnet 107/tcp #Remote Telnet Service
pop2 109/tcp postoffice #Post Office Protocol - Version 2
pop3 110/tcp #Post Office Protocol - Version 3
sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Call
sunrpc 111/udp rpcbind portmap #SUN Remote Procedure Call
auth 113/tcp ident tap #Identification Protocol
uucp-path 117/tcp
nntp 119/tcp usenet #Network News Transfer Protocol
ntp 123/udp #Network Time Protocol
epmap 135/tcp loc-srv #DCE endpoint resolution
epmap 135/udp loc-srv #DCE endpoint resolution
netbios-ns 137/tcp nbname #NETBIOS Name Service
netbios-ns 137/udp nbname #NETBIOS Name Service
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
imap 143/tcp imap4 #Internet Message Access Protocol
pcmail-srv 158/tcp #PCMail Server
snmp 161/udp #SNMP
snmptrap 162/udp snmp-trap #SNMP trap
print-srv 170/tcp #Network PostScript
bgp 179/tcp #Border Gateway Protocol
irc 194/tcp #Internet Relay Chat Protocol
ipx 213/udp #IPX over IP
ldap 389/tcp #Lightweight Directory Access Protocol
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internet Key Exchange
exec 512/tcp #Remote Process Execution
biff 512/udp comsat
login 513/tcp #Remote Login
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp #Extended File Name Server
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp #For emergency broadcasts
uucp 540/tcp uucpd
klogin 543/tcp #Kerberos login
kshell 544/tcp krcmd #Kerberos remote shell
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap #LDAP over TLS/SSL
doom 666/tcp #Doom Id Software
doom 666/udp #Doom Id Software
kerberos-adm 749/tcp #Kerberos administration
kerberos-adm 749/udp #Kerberos administration
kerberos-iv 750/udp #Kerberos version IV
kpop 1109/tcp #Kerberos POP
phone 1167/udp #Conference calling
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor
ms-sql-m 1434/udp #Microsoft-SQL-Monitor
wins 1512/tcp #Microsoft Windows Internet Name Service
wins 1512/udp #Microsoft Windows Internet Name Service
ingreslock 1524/tcp ingres
l2tp 1701/udp #Layer Two Tunneling Protocol
pptp 1723/tcp #Point-to-point tunnelling protocol
radius 1812/udp #RADIUS authentication protocol
radacct 1813/udp #RADIUS accounting protocol
nfsd 2049/udp nfs #NFS server
knetd 2053/tcp #Kerberos de-multiplexor
man 9535/tcp #Remote Man Server

-protocol:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Diese Datei enthält die Internetprotokolle gemäß
# RFC 1700 (Assigned Numbers).
# Bearbeiten Sie diese Datei mit einem ASCII-Editor.
#
# Format:
#
# <Protokollname> <Nummer> [Alias...] [#<Kommentar>]

ip 0 IP # Internet Protocol
icmp 1 ICMP # Internet Control Message Protocol
ggp 3 GGP # Gateway-Gateway Protocol
tcp 6 TCP # Transmission Control Protocol
egp 8 EGP # Exterior Gateway Protocol
pup 12 PUP # PARC Universal Packet Protocol
udp 17 UDP # User Datagram Protocol
hmp 20 HMP # Host Monitoring Protocol
xns-idp 22 XNS-IDP # Xerox NS IDP
rdp 27 RDP # "Reliable Datagram" Protocol
rvd 66 RVD # MIT Remote Virtual Disk

-networks:
Copyright (c) 1993-1999 Microsoft Corp.
#
# In dieser Datei werden einzelnen Netzwerknamen die entsprechenden
# Netzwerknummern für lokale Netzwerke zugeordnet.
# Bearbeiten Sie diese Datei mit einem ASCII-Editor.
#
# Netzwerknummern werden in der punktierten Dezimalschreibweise
# angegeben.
#
# Format:
#
# <Netzwerkname> <Netzwerknummer> [Alias...] [#<Kommentar>]
#
# Beispiel:
#
# loopback 127
# standort 284.122.107
# london 284.122.108

loopback 127

-lhmhosts.sam:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine Beispieldatei für LMHOSTS, wie sie von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
# Sie ist mit der LMHOSTS-Datei von Microsoft TCP/IP für LAN Manager 2.x
# kompatibel.
# Bearbeiten Sie diese Datei mit einem ASCII-Editor.
#
# In dieser Datei werden einzelnen IP-Adressen die entsprechenden
# Computernamen (NetBIOS-Namen) zugeordnet. Jeder Eintrag sollte aus
# einer einzelnen Zeile bestehen.
# Die IP-Adresse wird in der ersten Spalte eingetragen, gefolgt vom
# zugehörigen Computer-Namen. Die Adresse und der Computer-Name müssen
# dabei durch mindestens ein Leerzeichen oder ein Tabulatorzeichen
# getrennt sein.
# Das Zeichen "#" wird gewöhnlich Kommentaren vorangestellt. Ausnahmen
# hiervon sind die folgenden Erweiterungen:
#
# #PRE
# #DOM:<Domäne>
# #INCLUDE <Dateiname>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (Unterstützung nichtdarstellbarer Zeichen)
#
# Die Erweiterung "#PRE" wird nach dem Computer-Namen angegeben, wenn
# dieser Eintrag bereits zu Anfang in den Namen-Cache geladen werden
# soll. Standardmäßig werden die Einträge nicht zu Anfang in den Namen-
# Cache geladen, sie werden jedoch auch nur dann ausgewertet, wenn die
# dynamische Namensauswertung fehlschlägt.
#
# Die Erweiterung "#DOM:<Domäne>" wird nach dem Computer-Namen angegeben,
# wenn der Eintrag mit einer Domäne verknüpft werden soll.
# Dies wirkt sich auf das Verhalten des Computer-Suchdienstes und des
# Anmeldedienstes in der TCP/IP-Umgebung aus.
# Die Erweiterung "DOM:<Domäne>" kann zusammen mit der Erweiterung "PRE"
# für einen Eintrag angegeben werden.
#
# Die Angabe von "#INCLUDE <Dateiname>" veranlasst den NetBIOS Helper-
# Dienst die angegebene Datei zu suchen und sie wie eine lokale Datei
# auszuwerten. Für <Dateiname> werden UNC-Namen akzeptiert. Dadurch ist
# es möglich, eine LMHOSTS-Datei zentral auf einem Server zu verwalten.
# Befindet sich der Server außerhalb des Broadcast-Bereichs, ist eine
# Adresszuordnung für diesen Server vor der "#INCLUDE"-Anweisung not-
# wendig.
#
# Die Anweisungen "#BEGIN_ALTERNATE" und "#END_ALTERNATE" ermöglichen die
# Gruppierung von mehreren "#INCLUDE"-Anweisungen.
# Ist eine "INCLUDE"-Anweisung erfolgreich, werden alle weiteren
# "INCLUDE-ANWEISUNGEN" übersprungen und die Gruppe verlassen.
#
# Nichtdarstellbare Zeichen können im Computer-Namen enhalten sein.
# Solche Zeichen müssen als Hex-Wert in der \0xnn-Notation angegeben
# werden und zusammen mit dem NetBIOS-Namen in Anführungszeichen
# eingeschlossen werden.
#
#
# Beispiel:
#
# 102.54.94.97 maestro #PRE #DOM:technik # DC von "Technik"
# 102.54.94.102 "spiele \0x14" # besonderer Server
# 102.54.94.123 nordpol #PRE # Server in 3/4317
# #BEGIN_ALTERNATE
# #INCLUDE \\lokal\public\lmhosts
# #INCLUDE \\maestro\public\lmhosts
# #END_ALTERNATE
#
# In diesem Beispiel enthält der Server "spiele" ein Sonderzeichen
# im Namen, und der Server "nordpol" wird bereits zu Anfang in den
# Namen-Cache geladen.
# Die Adresszuordnung für den Server "maestro" wird angegeben, um diesen
# Server weiter unten in der #INCLUDE-Gruppe verwenden zu können.
# Wenn der Server "lokal" nicht verfügbar ist, wird die zentrale LMHOSTS-
# Datei auf "maestro" verwendet.
#
# Beachten Sie, dass die gesamte Datei bei jeder Auswertung durchsucht wird,
# einschließlich der Kommentarzeilen. Es wird daher empfohlen, die obigen
# Kommentarzeilen zu entfernen.

-hosts:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

...achso das mit VirusTotal hat irgendwie nicht geklappt, kann die Datei auch nirgends finden. Einfach ICQ 6 zu 6.5 updaten?
Schöne Feiertage und nochmals Danke !

Die sysaudio.sys ist normalerweise ein System Audio Filter und befindet sich immer hier:

Zitat:

C:\Windows\System32\drivers

Also war es gut, dass du die Datei gelöscht hast.

Ist die Weiterleitung noch aktiv???

Die ICQLite befindet sich:

Zitat:

C:\Programme\ICQLite\ICQLite.exe

Kann aber auch nach der Deinstallation verwaist sein, also als Restdaten auf deinem Laufwerk.

Aber checke das nochmal, wenn du sie gefunden hast:

Kaspersky Online-Scanner

Deine Prozesse kannst du z.B. hiermit checken und überwachen:

Security Task Manager: Windows XP Prozessviewer

Wünsche dir auch schöne Feiertage!

Falls du nicht weiterkommst, versuche ich nochmal zu helfen!

Gruß Björn

dies kannst du auch noch probieren, falls du IE benutzt:

Zitat:

Starte den Internet Explorer nicht wie immer sondern: Start - Alle Programme - Zubehör - Systemprogramme - Internet Explorer (ohne Add-Ons)

Falls dann alles normal ist, liegt es daran, daß eine "unerwünschte" Erweiterung (Add-On) installiert wurde.

Aktivieren/Deaktivieren kann man diese Add-Ons einzeln im (normal gestarteten) Internet Explorer unter: Extras - Addons verwalten - Addons aktivieren bzw. deaktivieren.

Oder man kann den Internet Explorer auf die Standardwerte zurücksetzen: Extras - Internetoptionen - Erweitert - Zurücksetzen... - Ok.

WOW! es hat echt alles funktioniert! Die ICQLite.exe war wie du schon gesagt hastnoch Restdaten. Die merkwürdigen weiterleitungen haben aufgehört und die Suchergebnisse bei Google beinhalten keine Seiten mehr wie "Bediddle". Zudem geht das ganze wieder schneller!
Großes Danke :>

Supi, freut mich, dass alles wieder funktioniert:aplaus:

Bis denn mal!

Björn

Ich möchte mich mal hier kurz anhängen. Firefox führte bei mir ebenfalls zu längeren Ladezeiten und verlinkte falsch unter google...

Der Tip mit ICQ war Gold wert, so scheint es im Moment.

Gelöscht wurden
\icq6.5\*.*
\icq6toolbar\*.*
\icqtoolbar\*.*

siehe da: Firefox verlinkt wieder wie er soll und scheint zu alter Geschwindigkeit gefunden zu haben...

Danke vielmals!

Hallo Richie,

freut mich, dass ich dir auch helfen konnte!

Viele Grüsse

Björn