hallo @ all!

habe wie so mancher probleme mit der einstellung der startseite im ie. habe bereits norton, adaware und spybot laufen lassen => nix hilft. habe nun HijackThis durchlaufen lassen. leider kenn ich mich weiter nicht aus. kann mir bitte jemand helfen?

Logfile of HijackThis v1.97.7
Scan saved at 17:41:31, on 05.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRAMME\SAPDB\DEPEND\pgm\kernel.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\sapdb\indep_prog\pgm\serv.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nouvrz.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nouvrz.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://nouvrz.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {47665703-488F-4E1E-BAF0-8B73E2D9C63E} (WebExecCmd Class) - http://web.telewifi.at/ActiveX/InfoCtl2.dll
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Hallöchen,

also ich würde folgende Dinge entfernen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nouvrz.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nouvrz.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nouvrz.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://nouvrz.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)

Das sind so die Sachen die mir gleich ins Auge fallen...

hey dirk!

danke für deine mühen, aber es hat leider nix geholfen. bin ratlos!!! Hast vielleicht noch eine andere idee?

lg tanja

Hallo!

Hatte das Problem letztens bei nem Bekannten behoben, kann daher nur noch aus der Erinnerung heraus berichten, was ich gemacht habe. Habe auch mit Hijackthis n Log erstellt und mir ist dann folgender Eintrag aufgefallen: O4 - HKLM\..\Run: [sys] regedit -s sys.reg

Und zwar wird bei jedem Start ein Registryeintrag (ohne Nachfrage) in die Registry eingetragen, der die unschönen Eintragungen vornimmt. Der Steht im Run-zweig der Registry, findest du sicher.

Die Reg datei liegt im Windows Ordner und heisst sys.reg, die sollte man da auch mal entfernen.

Viel Spaß noch

schlicht02(at)the-schlichten(dot)de für Fragen

hey du!

danke für dein hilfe. klappt wieder alles ganz normal hab eigentlich schon die hoffnung aufgegeben, dass mir jemand hilfe leistet. aber... danke, danke, danke!

Versuche bei diesem Problem das nächste Mal den CWShredder. Kommt bei diesen Hi-Jackern eigendlich immer gut klar. Ist nur ein Tipp fürs nächste mal. Hi-Jack This ist zwar auch gut, mußt allerdings ein wenig Ahnung haben.

Das war der Dropper Troj/Seeker-F
Troj/Seeker-F ist ein Trojaner, der die standardmäßige Startseite und die Suchseite des Microsoft Internet Explorers ändert.

HKEY_LOCAL_MACHINE den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sys
= REGEDIT.EXE -s SYS.REG

Auch wenn du ihn geloescht hast , ist es wichtig, die Wiederherstellung abzuschalten, sonst ist der Virus beim naechsten Mal wieder drauf.

Es ist eigenartig, dass der Norton-Antivirus ihn nicht geloescht hat.
Vielleicht hat der Trojaner /Dropper ihn ausser Gefecht gesetzt.
Deshalb wuerde ich den Norton neu installieren.

MfG
Nikita

Hallo Nikita,

eines mußt du mir unbedingt mal erklären. Wie in deinem letzten Tipp rätst du oft die Wiederherstellung abzuschalten (die ja eigendlich eine Schutzfunktion darstellt) um zu verhindern, dass der Virus ?beim nächsten Mal? wieder drauf ist?

Bedeutet das, dass dein Tipp den Virus gar nicht beseitigt hat? Müßte man dann nicht, neben der ausführenden Routine auch das Installationsscript entfernen?

Auf Dauer eine Systemschutzfunktion ausser Kraft zu setzen, kann doch nicht die Lösung sein, oder?

Hallo Gray Ghost

Der Rat erscheint bei fast saemtlichen Viren- Entfernungen .
Beispiel:

1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
2. Aktualisieren Sie Ihre Virusdefinitionen.
3. Starten Sie den Computer im abgesicherten Modus oder im VGA-Modus neu.
4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32....... infiziert erkannt werden.
5. Entfernen Sie die in die Registrierung geschriebenen Werte und starten Sie den Computer neu.


Zitat:
Windows sichert nämlich die vermeintlich saubere und stabiles Windowsversion inclusive des Virus brav in ein spezielles Verzeichnis mit dem Namen C:\_RESTORE.
Nachdem der Virenscanner den Rechner gesäubert hat, und dieser neu gestartet wird, kopiert Windows nun den Virus wieder zurück in das eben gesäuberte Betriebssystem, da es die Änderung durch den Virenscanner entdeckt und diesen "Fehler" ausgleichen will. Der Virenscanner selber kann aber den Virus in diesem Sicherungsverzeichnis nicht löschen, da Windows ihm den Zugriff verwehrt.
Ein Teufelskreislauf.
Hier hilft lediglich die Abschaltung der System-Wiederherstellerung wie folgt: .............


Natuerlich kann man nach der Saeuberung die Wiederherstellung wieder aktivieren .

MfG
Nikita

bei mir klappts noch immer ohne dasss ich die wiederherstellung abgeschalten haben.

lg

Dann warte mal ab, was passiert, wenn du das naechste Mal ne Wiederherstellung machst...
Dann hast du naemlich den ganzen Muell wieder drauf....
MfG
Nikita

ich mach nie eine wiederherstellung. ich versuch mein problem immer so zu lösen. aber trotzdem danke für den tip.

Man soll nie ...nie sagen ...
Aber trotzdem ist es gut zu wissen, dass man diesen "Rettungsanker" im Notfall zur Verfuegung hat.
Allerdings nicht bei Virenbefall.

MfG
Nikita

und zwar folgends. Startseite des IE wurde auf awebfind.biz festgelegt und ich weis echt nicht mehr weiter! Habe AdAware und SpyBot drüberlaufen lassen, aber ohne erfolg. Antivir fand einen Trojaner BDS/Agobot.JY!. MSCLOCK.EXE wurde dann aber gelöscht, jetzt is die Startseite allerdings immernoch die alte Bitte helft mir!

Hier die Log.:
Logfile of HijackThis v1.97.7
Scan saved at 18:43:10, on 06.04.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINNT\System32\vmnat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\mk9900.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\mdigits.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\Programme\SpamPal\spampal.exe
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe
C:\WINNT\System32\regedt32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O2 - BHO: (no name) - {DE7C934E-BFB3-41AE-A67C-4128CD2EE69E} - C:\WINNT\System32\mdgdmc.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotKey] mk9900.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Digital Cryptors] mdigits.exe
O4 - HKLM\..\RunServices: [Microsoft Digital Cryptors] mdigits.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A43D7421-D4F1-4230-8745-FC3174521266}: NameServer = 217.237.159.193 194.25.2.129

Lade dieses Tool
http://www.chip.de/downloads/c_downloads_11353799.html

Und fixe alles, was , was <obfuscates< ist.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\mdgdmc.dll/sp.html (obfuscated)

und
O2 - BHO: (no name) - {DE7C934E-BFB3-41AE-A67C-4128CD2EE69E} - C:\WINNT\System32\mdgdmc.dll

Dann stelle die Startpage neu ein.

Dann lade ClearProg und saebere den Browser
http://www.clearprog.de/


MfG
Nikita


Falls dies das Problem nicht loest, dann hast du wahrscheinlich den W32.Tuoba.Trojan auf dem Comp.
Er veraendert die Startpage zu der Adresse:213.159.118.226, was u.a. auch 213.159.118.226 awebfind.biz entspricht.

http://securityresponse.symantec.com/av ... rojan.html

Entfernen:
1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit

Then click OK. (The Registry Editor opens.)

3. Navigate to the key:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\ZoneMap\Ranges\Range1

4. In the right pane, either delete the values or restore them to their original values.

5. Exit the Registry Editor.

6. Restart the computer.

Nikita