hi leute

ich weiß es gibt mit sicherheit schon einige threads zu diesem leidigen thema,deshalb bitte ich um nachsicht wenn ich jetzt wahrscheinlcih den 1000 zu dieser sache öffne [img]smile.gif[/img] .
habe da ein paar probleme mit meiner startseite im explorer.
diese lässt sich nicht mehr ändern und zeigt mir immer diesen link an.
C:\spad\start.html

habe hier mal ein paar einträge gelesen und denke das es (andere scheinen ja auch das selbe prob zu haben) mit sicherheit ein hijacker,oder?
habe von addware mein sys scannen lassen und habe als einträge nur trackingcookies bekommen(alle gelöscht).
spybot hat auch ein paar dinge gefunden(ebenfalls alles gelöscht)
habe dann auch noch hijack this scannen lassen,mit folgenden einträgen.

Logfile of HijackThis v1.97.7
Scan saved at 17:14:06, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mfc71.exe
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] F:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKCU\..\Run: [mfc71] C:\WINDOWS\System32\mfc71.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{538A36D3-EB7D-4715-B4DE-DE7BF088A4E2}: NameServer = 217.237.150.33 194.25.2.129

leider habe ich keinen plan von diesem programm,wäre nett wenn mir hier jemand helfen würde.
habe diese beiden einträge mal gefixt.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html

leider ohne erfolg,der explorer bringt mir immer noch die oben erwähnte seite :( .

</font><blockquote>Zitat:</font><hr />Original erstellt von Halo007:

C:\WINDOWS\System32\mfc71.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [mfc71] C:\WINDOWS\System32\mfc71.exe

</font>[/QUOTE]Hi,

warum läuft denn der AVPE-Guard nicht ?
was ergibt ein komplettscan mit AVPE ?
dito Onlinescanner Trend & RAV (s. Forum) ?

kennst du dieses mfc71.exe ?
was steht da in den eigenschaften ? mal mit KAV prüfen, bitte

der 1 obige R1-Eintrag oben könnte evtl. was böses sein..
-&gt; alle wmplayer.exe die du findest, mit KAV prüfen..

--&gt; & ALLE R0 & R1-Einträge fixen..!!
am besten im abgesicherten Modus (F8-Boot)

die 2 obigen O4-Einträge sind überflüssig..


Ach ja, und
- Alle wichtigen Windowsupdates machen
- IE nicht mehr benutzen, aber trotzdem aktuell halten
- bzw IE absichern: www.heise.de -&gt; security -&gt; browsercheck
;)

[ 26. Mai 2004, 17:58: Beitrag editiert von: Who Cares ]

hab alle einträge im abgesicherten modus gefixt,kein erfolg :(

keine ahnung was diese mfc71.exe sein soll.
diese datei gibt es 2 mal bei mir im sys und zwar in c:Windows\system32 und in c:windows\ prefetch

</font><blockquote>Zitat:</font><hr /> mfc71.exe ?
was steht da in den eigenschaften ? mal mit KAV prüfen, bitte</font>[/QUOTE]und auch die anderen Fragen/Tips abarbeiten

Hi,
die funktion, das feld in dem man die startseite ändern kann zu deaktivieren ist auch in Spybot-S&D (advanced mode) enthalten. Lad es dir runter und geht auf imunisiern da kannst du dann ein häkchen setzten, oder eben wegmachen wenn du die startseite wieder ändern willst. Übrigens gegen Hjacker hilft diese funktion überhaupt nichts sondern nur falls jemand an deinem computer rumspielt und die startseite ändern will.

bye