Hallo Fachleute!

Kann hier einer helfen? Scheint ein schwerer Fall zu sein. Ich habe bereits gelesen, dass hier das Logfile von hijackthis gewünscht wird und habe es unten angehängt. Bin schon ganz verzweifelt.

Immer wenn ich firefox starte, meldet sygate, dass firefox die Webseite "tagesschau.de" anzeigen will, obwohl ich "leere Seite" als Startseite des firefox eingestellt habe.

Logfile of HijackThis v1.99.1
Scan saved at 10:41:20, on 16.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Tools\SygateFirewall55\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Tools\IKARUS~1\GuardNT\GuardNT.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Tools\Trojan Scan Engine\tse.exe
D:\Tools\Trojan Scan Engine\tse.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\downloads\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\Spybot - Search & Destroy 1_3\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] D:\Tools\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [Guard NT] D:\Tools\IKARUS~1\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Tools\CloneCD_5261\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{44122B9A-9CD9-4154-8980-017E21BBD047}: NameServer = 172.27.2.10,172.27.1.1
O23 - Service: Guard NT - Ikarus Software Wien - D:\Tools\IKARUS~1\GuardNT\GuardNT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Tools\SygateFirewall55\smc.exe


help!

Hallöchen,

ist das dein komplettes Logfile? Da fehlen eigentlich ein paar Einträge die man sonst im Logfile finden müßte... Und zwar genau die wo die Startseite und Suchseite des Internet Explorer definiert werden...

Was mir aber spontan auffällt ist folgender Eintrag:

Code: Alles auswählen

O17 - HKLM\System\CCS\Services\Tcpip\..\{44122B9A-9CD9-4154-8980-017E21BBD047}: NameServer = 172.27.2.10,172.27.1.1

Kommen dir diese IP-Adressen bekannt vor bzw. hast du sie bewußt eingetragen? Wenn nicht, dann könnte das schon der Übeltäter sein.

Das kurze Logfile kommt vielleicht daher, dass ich gerade XP neu installiert habe.
Mit dem Internet-Explorer komme ich ungehindert ins Internet, nur firefox scheint gekidnappt worden zu sein.
Die letzte Aktion bevor ich das hijacking bemerkt habe, war die Installation von clonecd_5261.
Die von dir angemerkten IP-Adressen, sind die Nameserver meines ISPs.

danke