Trojaner-Board - Hijacker-help! ich werd sonst noch verrückt!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hijacker-help! ich werd sonst noch verrückt! (https://www.trojaner-board.de/6614-hijacker-help-werd-noch-verrueckt.html)

Hijacker-help! ich werd sonst noch verrückt!

Hallo leute! brauche mal dringend eure hilfe bei folgendem hijacker der das searchportal-info installiert hat...

weder ad aware noch spybot noch der aktuellste shredder (1.59.1) noch andere gängige antivirenprogramme schlagen an oder bzw. geben mir aufschluss darüber was ich noch fixen muss damit ich endlich wieder dauerhaft meine startseite kriege.

ein ganz herzliches dankeschön schonmal vorab an alle helfer!

hier das log von hijack-this: Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\gddjbpx.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\simple1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [akaxotptoigfg] C:\WINDOWS\System32\gddjbpx.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ist service uninstall x] C:\WINDOWS\simple1.exe /u
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: www.mt-download.com
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = local
O17 - HKLM\Software\..\Telephony: DomainName = local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = local

Update! nach einigem fixen sieht das log jetzt so aus:

Logfile of HijackThis v1.98.0
Scan saved at 1:25:27 AM, on 8/2/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\gddjbpx.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\simple1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = local
O17 - HKLM\Software\..\Telephony: DomainName = local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = local

Folgende prozesse halte ich auf jeden fall für böse, werde sie aber nicht los obwohl ich sie mehrfach von hand gelöscht habe;

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
R 0 ist klar...
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe

was übersehe ich und wieso funktioniert es nicht??????

Hast du schonmal mit eScan gescannt?
http://www.trojaner-board.de/showthread.php?t=6083

Poste bitte nach dem Scan ein neues Log von HijackThis.

Ich fürchte, dein Problem ist größer als ein Hijacker:

C:\WINDOWS\System32\gddjbpx.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\simple1.exe

Prüf diese Dateien bitte hier:
http://www.kaspersky.com/de/scanforvirus

Ergebnis?

@CJM

Vorallem Cool beleiben , das ist ein popliger HiJacker :)

Also EScan wie von Christian gesagt runterladen
http://www.rokop-security.de/board/i...showtopic=3867
Installieren und updaten wie angegeben

Dann deinen Symantec updaten

Geh bitte in den Abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)

AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
Sowie alles mir R0&R1 was vielleicht hier noch auftaucht
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
ACHTUNG 2*Mal da
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Dann mit EScan scannen wie oben angegeben

Dann mit deinem Virenscanner scannen

Dann normal neustarten und nochmal logfile posten

Gruß paff

Zitat:

Zitat von paff

hallo!

erstmal danke für die hilfe...nur leider funktioniert es wieder nicht...habe von e-scan die aktuellste version sowohl im abgesicherten modus als auch bei relurärem rechnerbetrieb drüberlaufen lassen....hat auch einiges gefunden und behoben, seitdem läuft der rechner weit problemloser. Nur der startseite, searchportalinfo, komme ich nicht bei, völlig egal was ich mache... ich fixe die angegeben dateien, also R0, diese service-dateien, O2-no file und jedes Mal sind sie wieder da....ich weiß echt nimmer weiter....das ist das aktuellste logfile, die seite ist natürlich (wie könnte es auch anders sein?!=)wieder da sobald man den explorer öffent...

Logfile of HijackThis v1.98.0
Scan saved at 2:23:40 AM, on 8/3/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\The Cleaner\cleaner.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 11 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = local
O17 - HKLM\Software\..\Telephony: DomainName = local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = local

C:\WINDOWS\inetsrv\services.exe

Diese Datei wird von einem aktuellen eScan nicht als Malware erkannt? Auch nicht bei einer manuellen Prüfung hier:

http://www.kaspersky.com/de/scanforvirus ?

Dann bitte mal diese Datei an die unten in meiner Signatur genannten Mailadressen einsenden - Danke!

@CJM

Lade dir mal bitte diese Datei
http://tools.zerosrealm.com/VX2Finder.exe

Starten und Logfile posten

Gruß paff

Zitat:

Zitat von mmk

Hallo erstmal!

also von e-scan verwende ich die Version 4.2.9. die müsste doch aktuell sein, oder? Und die erkennt diese service-datei nicht als virus...dieser scanner den du oben gepostet hast von kaspersky, der erkennt ihn...

Zu überprüfende Datei: services.exe

services.exe - packed with PE_Patch.PECompact
services.exe - packed with PecBundle
services.exe - packed with PECompact
services.exe Infiziert: Trojan.Win32.Small.ai

ist klar dass die datei infiziert ist....das problem ist: Ich krieg sie nicht weg! 4 dateien, nämlich 2x diese service, das 02 no file... und natürlich die startseite sind auch nach dem manuellen fixen wieder da...wir übersehen irgendeine vermutlich unsichtbare application die diese programme jedes mal wieder neu aufspielt oder ihre tatsächliche löschung verhindert...so muss es doch sein denk ich mal.....

@paff ich mach mich jetzt mal an den Vx2-finder und berichte dann erneut...

Muss leider berichten dass dieses tool gar nichts findet...

Log for VX2.BetterInternet File Finder

Files Found---

Guardian Key--- is called:

User Agent String---

ich versuch nochmal was... hat noch jemand irgendwelche gute ideen?

1.) Systemwiederherstellung in XP abschalten.
2.) Taskmanager aufrufen, diesen Prozess markieren und beenden: C:\WINDOWS\inetsrv\services.exe
3.) Die Datei C:\WINDOWS\inetsrv\services.exe löschen.
4.) HijackThis aufrufen, Scan klicken, diesen Einträge markieren:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://searchportal.info/
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe

5.) Alle Internet Explorer und Windows Explorer Fenster schließen.
6.) Jetzt "Fix checked" klicken.
7.) System neu starten.

Zitat:

Zitat von mmk

ok, das wäre noch ne neue variante...wo schalte ich diese systemwiederherstellung in XP aus? edit: ich weiß es, danke...

denn ich hab grad die komplette procedur nochmal gemacht und wieder nix erreicht... verlasse ich den abgesicherten modus sieht das hijackthis-log absolut sauber aus...sowohl e-scan als auch ad-aware finden gar nix mehr...kaum fahre ich den rechner wieder in normalem modus wieder hoch sind die angeblich gefixten 4 alten bekannten wieder da...völlig hoffnungslos so.

Zitat:

Zitat von mmk

Systemwiederherstellung ist deaktiviert.
Task-manager weigert sich den prozess services zu beenden, er macht es einfach nicht....kann weder den den prozess, noch die prozesstruktur noch seine priorität ändern...dieser verdammte dreckshijacker....hat der eigentlich irgendwas ausgelassen???
was ist wenn ich einfach versuche über DOS diese services- datei zu löschen? wie lautet da nochmal der korrekte eingabebefehl? hab ewig nimmer damit gearbeitet...denn ich glaube kaum dass sich diese datei einfach bei aktiven windows löschen lässt... ich probiers jetzt mal, aber wetten das klappt nicht?

edit: Wer hätte es gedacht...geht natürlich nicht, den prozess einfach so zu löschen...

Boote Win XP im abgesicherten Modus mit Eingabeaufforderung. Dann:

- Erst mit dieser Eingabe in den Ordner C:\WINDOWS\inetsrv wechseln:
cd C:\WINDOWS\inetsrv

Enter drücken.

- Anschließend eingeben:
calcs services.exe /P Administrator:F
(Erklärung: das P steht für den Benutzer und das F für den Vollzugriff - bitte so eingeben wie im Beispeil gezeigt.)

Enter drücken.

- Jetzt die Datei umbenennen:
ren services.exe services.qua

Enter drücken.

Diese Datei später von Hand löschen.