Lösche diese Datei und fixe nochmals den R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ Eintrag.

Poste nochmals das Log-File.

Welche Datei genau? Die systr.dll?

Ja, genau die.
Sorry, mein Fehler.;)

Wie kann ich sie löschen, löschen wird nicht zugelassen weil in Verwendung. Ich glaube wir liegen aber ziemlich nahe dem Problem. Kann ich die Löschverweigerung irgendwie übergehen??

Im abgesicherten Modus kannst du sie löschen und den Eintrag fixen.
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Danach führst du diese Punkte aus um dein System abzusichern:
- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Hi Cidre,

ich habe die Löschung im abgesicherten Modus versucht. Die Spyware fährt auch hier sofort hoch und wird somit blockieren.

Udo

Verusch mal mit Killbox und wähle die Option "delete on reboot".

Hallo Cidre,

vielen Dank, das war ein Volltreffer. Das Pop-Up-Fenster kommt nicht mehr und auch mein neuer HJT-Log ist clean:

Logfile of HijackThis v1.99.0
Scan saved at 01:49:23, on 19.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Kabelloser Labtec-Desktop\MulMouse.exe
C:\Programme\Kabelloser Labtec-Desktop\OSD.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Kabellosen Labtec-Desktop aktivieren.lnk = C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich danke allen, die auf dieser tollen Seite versucht (und es geschafft) haben, zu helfen. Werde euch weiterempfehlen.

Gruß,
Udo :daumenhoc

Arbeite nun diese Empfehlungen ab und lies dich ein wenig ein ->
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

Hallo!
Bin ein absolut blutiger Anfänger, in Sachen Viren/Trojaner-Problemen.
Hab auch die hotoffers-krise! -.-
eScan hab ich schon geladen und es läuft gerade. Hat schon 55 Sachen gefunden :heulen:

Und hier meine Frage: Warum muss ich ein Update machen? Und was für eines genau? ~~
Und bitte tut so, als würdet ihr es einer 5 jährigen erklären, ja? ^^;

Danke im Vorraus!

Lyxaria

EDIT: Hab jetzt alles gelöscht, was er gefunden hat und jetzt hab ich ein weiteres Problem o.O
Hotoffer ist zwar wech, aber jetzt hab ich immer wenn ich ein Windows-Prog starte (ob das jetzt windows selbst ist oder Microsoft Word): Der Windows-Installer öffnet sich und Norton meldet sich, dass Norten die Repair-Funktion nicht unterstützt. Ich also deinstallieren und neu installieren soll...

Hier ~> http://lifa.dream-star.de/hilfe.jpg

Hilfe -.-

Sorry leute aber ich habe auch diesen sch**** hotoffers kram auf meinem Rechner und habe mir jetzt escan runtergeladen wie gepostet wurde ...
hier die log von escan :

File C:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken.
File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "IEHijacker.Hotoffers Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\guninst.exe infected by "Trojan-Dropper.Win32.Agent.hy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.

Also sind noch eins zwei viren mehr drauf ...
Könnte mir trotzdem jemand helfen weil der hotoffers kann wirklich nerven !!!

Vielen Dank schon mal im Voraus!

Greetings from LauiTheRipper

Hi nochmal !

Also ich habe den Hotoffers jetzt auch weg also nochmal vielen Dank für die Beschreibung!

Mit escan und killbox hat es dann doch geklappt! Musste man ja im Abgesicherten Modus machen!

Ok nochmal vieeeelen Dank!

@ LauiTheRipper

Dann brauch ich dir ja nicht mehr auf deine PM antworten.;)

Um eine erneute Kompromittierung zu vermeiden, solltest du den Link in meiner Signatur folgen und etwas durchstöbern.