Trojaner-Board - Problem mit Startseite - genau das gleiche Problem wie Staux!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Problem mit Startseite - genau das gleiche Problem wie Staux!!! (https://www.trojaner-board.de/11694-problem-startseite-genau-gleiche-problem-staux.html)

Problem mit Startseite - genau das gleiche Problem wie Staux!!!

habe mir nun auch den hijack runtergeladen !!! und nu - hab echt keine ahnung von pcs !! sorry würd mich riesig über hilfe freuen

danke

dann poste doch bitte mal ein hijack this log

so das hat das programm ausgespuckt

Logfile of HijackThis v1.99.0
Scan saved at 14:25:00, on 05.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\STDSB.exe
C:\WINDOWS\System32\WL.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\Icon.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bi...e=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [WL] C:\WINDOWS\System32\WL.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe
O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Microsoft Office Outlook 2003 (2).lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{4021BBDE-96B6-40E8-9729-C48BD4769808}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

hm..
die datei STDSB.EXE im Ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen lassen ebenso wie WL.exe im gleichen ordner.
dann sehe ich hier einen rapidblaster. den solltest du mit diesem tool http://www.wilderssecurity.net/downloads/rbkiller.exe entfernen können.
gefixt werden sollte:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-b...se=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [WL] C:\WINDOWS\System32\WL.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - WWW. Prefix: http://ehttp.cc/?
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
lade dir escan auch mal runter und führe es im abgesicherten modus aus, und kopiere das ergebnis von escan ins forum

sorry bin manchmal etwas schwer von begriff.

was soll ich nun machen ???

schritt für schritt

danke

um escan runterzuladen brauche ich ja ne stunde oder ??? hab nur isdn

1.die datei STDSB.EXE im Ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen lassen ebenso wie WL.exe. (ergebnis mitteilen per beitrag)
2.escan runterladen,im abgesicherten modus ausführen lassen und dann schließlich das ergebnis auch ins forum kopieren
3. mit hijack die einträge die ich unten gesagt habe von hijack this fixen lassen
4. mit rapidblasterentfernung beginnen (tool runterladen und ausführen)
5. ein neues hijack this log erstellen und posten
ne net wirklich.
du brauchst die kleine version von http://www.mwti.net/antivirus/free_utilities.asp

Service load: 0% 100%

File: STDSB.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.65 seconds taken)
mks_vir No viruses found (0.30 seconds taken)
NOD32 No viruses found (0.68 seconds taken)
Norman Virus Control No viruses found (0.79 seconds taken)

ich hab ja gesagt beide.also auch die WL.exe. deine STDSB.exe ist jedenfalls sauber.

rapidblaster hat er nix gefunden !!!

Service load: 0% 100%

File: WL.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.37 seconds taken)
ClamAV No viruses found (1.33 seconds taken)
Dr.Web No viruses found (1.51 seconds taken)
F-Prot Antivirus No viruses found (0.13 seconds taken)
Kaspersky Anti-Virus No viruses found (1.23 seconds taken)
mks_vir No viruses found (0.37 seconds taken)
NOD32 No viruses found (0.53 seconds taken)
Norman Virus Control No viruses found (1.84 seconds taken)

erst mal danke dass du dich so um mich kümmerst

wie mache ich einen abgesicherten Modus ????

hijack will das ich neustarte - soll ich ??? oder noch warten bis escan vollends runtergeladen ist ????

warte noch bis escan fertig ist. dann kannste ja auf "yes" oder "ja" klicken

Einmisch...:
Abgesicherter Modus
Abwarten bis der Download fertig ist. Anleitung für eScan beachten.
...Bin schon wieder weg...

mir fällt auf, dass da wohl eine unbekannte rapidblastervariante am werk ist. also kannste auch gleich mal nach c:\windows\system32 gehen im abgesicherten modus und die datei icon.exe löschen
mach aber trotzdem wie bereits gesagt weiter

so bis gleich werd kurz neustarten im abgesicherten modus

so bin wieder hier aber im abgesicherten modus bin ich net ins inet gekommen !!!

hat der escan die daten automatisch gelöscht ??? die viren ??? er hat drei gefunden

also kannste auch gleich mal nach c:\windows\system32 gehen im abgesicherten modus und die datei icon.exe löschen

dass muss ich noch machen oder???

jetzt lass ich nochmal den hijack drüber laufen

hm ja der abgesicherte modus hat auch keine treiber geladen nur das notwendigste. und nein leider löscht der escan die viren nicht er erkennt sie nur (die funktion wurde entfernt damit man die vollversion kauft -_-)
kopiere mal das escan ergebnis in eine txt-datei und von der txt-datei ins forum im normalen modus
jep und die datei musste auch entfernen

das hat er nun ausgespuckt :

Logfile of HijackThis v1.99.0
Scan saved at 15:46:35, on 05.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\STDSB.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQ\ICQ.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe
O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: Microsoft Office Outlook 2003 (2).lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{4021BBDE-96B6-40E8-9729-C48BD4769808}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

kann ich den escan auch im normal modus drüber laufen lassen ???

denn das ergebnis hat er mir nicht kopiert

hab mir die viren kopiert mit strg c aber mit strg v kamen sie nicht mehr

man ist das eine scheiße- ohne euch wäre ich echt verloren !!!

das dachte ich mir. geh in den abgesicherten modus. lösche die drei dateien.
im ordner C:\WINDOWS\System32 die STDSB.EXE, die ICON.EXE falls nicht schon erledigt und die datei ietlbass.dll
dann fixe nochmal im abgesicherten modus:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
dann im normalmodus starten nen neuen hijack this log erstellen und posten
ich denke escan erübrigt sich dadurch was ich schon vermute. die drei dateien die ich gesagt habe werden wohl die 3 virendateien sein.

soll ich dann auch gleich noch escan im abges modus au glei drüber laufen lassen danach ???? und ergebnis in txt umwandeln ?????

viele fragen - und hoffentlich viele antworten ;-)

jep lass ihn nochma drüberlaufen.

wer lesen kann ist klar im vorteil sorry das mit escan hat sich erledigt ich doffiiii

ok dann eben doch ;-) also werd dann nochmal verschwinden ;-)

so ich glaub es sieht net schlecht aus :

Hier die ergebnisse:

hijack:

Logfile of HijackThis v1.99.0
Scan saved at 16:22:15, on 05.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQ\ICQ.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe
O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Microsoft Office Outlook 2003 (2).lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

und escan :

viren die er gefunden hat

File C:\WINDOWS\TLBAssUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Markus\LOKALE~1\Temp\backups\backup-20050105-145620-204.dll infected by "Trojan-Dropper.Win32.Agent.dk" Virus. Action Taken: No Action Taken.

bericht von escan

Wed Jan 05 16:15:29 2005 => ***** Scanning complete. *****
Wed Jan 05 16:15:29 2005 => Total Files Scanned: 19396
Wed Jan 05 16:15:29 2005 => Total Virus(es) Found: 2
Wed Jan 05 16:15:29 2005 => Total Disinfected Files: 0
Wed Jan 05 16:15:29 2005 => Total Files Renamed: 0
Wed Jan 05 16:15:29 2005 => Total Deleted Files: 0
Wed Jan 05 16:15:29 2005 => Total Errors: 1
Wed Jan 05 16:15:29 2005 => Time Elapsed: 00:09:32
Wed Jan 05 16:15:29 2005 => Virus Database Date: 2005/01/05
Wed Jan 05 16:15:29 2005 => Virus Database Count: 114704

Wed Jan 05 16:15:29 2005 => Scan Completed.

das wars

und nun ????

startseite war diesmal leer (also about: blank)

So ich danke dir recht herzlich dafür dass du mir 2 h helfen mußtest vielen dank

also die startseite funktioniert wieder !!! Vielen Dank

Jetzt noch ne Frage :

was mach ich mit den berichten von vorher und den gefundenen Viren ???

Was ist allgemein gesagt der besten schutz gegen viren, so sachen wie der startseite virus von gerade, würmer, trojaner und anderes ungetüm ???

norton??? anti vir ??? firewall??? wenn ja welche ???

grüße und vielen dank

löschen im abgesicherten modus
das sollte einfach sein.
ein virenscanner ist nicht immer wirklich nötig, wenn der user richtig handelt. verwende nen anderen browser wie firefox oder opera, das stoppt diese startseitenveränderungen. dann wenn du xp oder 2000 hast, führe das script von http://www.ntsvcfg.de aus. der sorgt dafür, dass die ports geschlossen werden die sonst immer offen sind. und ein anderes emailprog für die verbreitung von viren. mozilla thunderbird ist da gut.
ansonsten empfehle ich hald den antivir, der reicht meines wissens wenn man das obige beachtet aus.
acha deine firewall kannste dann entfernen, ntsvcfg reicht aus für nen normalbenutzer. dein hijack log is clean