Hallo Leute,

bin ein ziemliches Greenhorn auf dem Gebiet. SEARCHPORTAL.com trägt sich autom. als startseite sein. habe schon versch. versucht, in der registry files gelöscht,......spätestens nach dem neustart erscheint SEARCHPORTAL.com wieder als startseite. habe verschiedene antivirusprogramme, spyfinder, regcleaner drüberlaufen lassen, alles kein wirklicher erfolg.
Hier mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 20:50:02, on 19.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\INETSRV\SERVICES.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
D:\PROGRAMME\ZONEALARM\INSTALLATION\ZLCLIENT.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\A2PERSONAL ANTIVIRUS\A2\A2GUARD.EXE
C:\PROGRAMME\A2PERSONAL ANTIVIRUS\A2\A2START.EXE
C:\PROGRAMME\A2PERSONAL ANTIVIRUS\A2\A2SCAN.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIGHJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchportal.info/10022/
F1 - win.ini: run=C:\WINDOWS\INETSRV\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zonealarm\Installation\zlclient.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE
O4 - HKCU\..\Run: [a²] "C:\Programme\A2personal Antivirus\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Besten Dank

sorry, die startseite lautet: http://www.searchportal.info/10022/

Hallo.

Guck mal hier zum Thema Browser-Hijacking.

Geh vielleicht auch mal auf diese Seite hier, da hast du links zu online-Virenscans verschiedener Hersteller. Hat mir schon geholfen, etwas zu entfernen.

Benutzt Du einen Virenscanner mit Virenwächter (also ein Hintergrundprozess, der dein System überwacht)? Hier gibt es welche, Antivir ist wohl das beste kostenlose Prog. In jedem Fall Virenscanner regelmäßig updaten!!!

Zu deinem Log:

Starte Windows im abgesicherten Modus (Neustart, F8 drücken, bevor Windows-Logo erscheint).

Fixe folgende Einträge:

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB

Schau dir folgende Einträge mal an und fixe sie, wenn Du das Programm/ die Website nicht kennst:

C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchportal.info/10022/

Fixe folgenden Eintrag, er ist unvollständig:

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

HAllo Wattewuschel,

Danke fürs erste,

wie gesagt bin ich ein totales greenhorn,...was heist fix/fixen????

benutze nortonantivirus 2004.

Das Creativfile hängt mit meinem soundsystem zusammen, is daher denk ich in ordnung.

Fixen bedeutet vor den betreffenden Zeilen in HijackThis ein Häkchen zu machen und dann auf Fix Checked zu klicken

Ist :\WINDOWS\INETSRV\SERVICES.EXE

nicht eine Systemdatei???????????

Zitat:

Zitat von Standardianer

Ist :\WINDOWS\INETSRV\SERVICES.EXE

nicht eine Systemdatei???????????

Wenn sie unter C:\Windows\System32\ wäre, dann wäre es eine Systemdatei

Das ist ja grade der Trick vieler Malware, sich so zu nennen wie Systemdateien und damit den User zu verunsichern (und natürlich um dadurch weniger aufzufallen)

Ergänzung zu wattewuschel:

Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe noch diesen Eintrag:
F1 - win.ini: run=C:\WINDOWS\INETSRV\SERVICES.EXE

Lösche diese Datei:
C:\WINDOWS\INETSRV\SERVICES.EXE

eScan AntiVirus wie beschrieben anwenden

Danach
- Neustart
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

EDIT:
Fixen heisst:
Einen Haken setzen vor den genannten Einträgen und auf Fix Checked klicken