wer hilft mir, prosearching loszuwerden?

[Rosenkrantz]

Hallo, mein Problem ist eine umgeleitete Homepage. Nach vielen scans mit Hijackthis bin ich Prosearching nicht losgeworden. hat sich sogar schon in mozilla eingenistet!

bin mir sicher, dass 32amen.exe böse ist, lässt sich aber weder fixen, noch aus dem ordner (support mix live) löschen, da wird mir der "zugriff verweigert".

wer kann mir helfen?

thanks,
klaus

Logfile of HijackThis v1.97.7
Scan saved at 12:46:13, on 06.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\Programme\Apoint\Apntex.exe
C:\PROGRA~1\SUPPOR~1\32 amen.exe
C:\WINDOWS\System\wininet.exe
C:\WINDOWS\System32\iexplore.exe
C:\Hijackthis\HijackThis.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://prosearching.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://prosearching.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
O1 - Hosts: 207.68.185.58 auto.search.msn.com
O1 - Hosts: 207.68.185.58 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [blue base] C:\PROGRA~1\SUPPOR~1\32 amen.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wininet.exe
O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - Startup: Microsoft-Indexerstellung.lnk.disabled
O4 - Startup: Office-Start.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: http://www.nkvd.us/1507/
O13 - WWW Prefix: http://www.nkvd.us/1507/
O13 - Home Prefix: http://www.nkvd.us/1507/
O13 - Mosaic Prefix: http://www.nkvd.us/1507/

[Computerdirk]

Hallöchen,

fixe mal folgende Sachen in deinem HijackThis-Scan...

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://prosearching.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://prosearching.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm

Und dann noch:

O4 - HKLM\..\Run: [blue base] C:\PROGRA~1\SUPPOR~1\32 amen.exe

Und als letztes:

O13 - DefaultPrefix: http://www.nkvd.us/1507/
O13 - WWW Prefix: http://www.nkvd.us/1507/
O13 - Home Prefix: http://www.nkvd.us/1507/
O13 - Mosaic Prefix: http://www.nkvd.us/1507/

Danach sollte es möglich sein die 32 amen.exe zu löschen. Hast du ein aktuelles Antivirenprogramm installiert?

[Rosenkrantz]

erst mal danke für die antwort.

ich hab jetzt alle suchseiten gefixt und auch das:

O4 - HKLM\..\Run: [blue base] C:\PROGRA~1\SUPPOR~1\32 amen.exe

allerdings ließ sich der ordner auch danach nicht löschen!

und bei einem weiteren scan ist 32 amen.exe wieder aufgetaucht!

?

[Nikita]

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

e-scann
Lade, dann die mwav.exe suchen
http://www.mwti.net/antivirus/free_utilities.asp

-Lade Search&Destroy
http://beam.to/spybotsd

-Lade AdAware (free-version)
http://www.lavasoft.de/

-Lade Antivir. (falls du einen Virenscanner hast, deaktiviere ihn)
http://www.free-av.com/

-ClearProg
http://www.clearprog.de/

-------------------------------------------------------------------------
Fixe mit dem HijackThis:

C:\WINDOWS\System\wininet.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://prosearching.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nkvd.us/1507/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://prosearching.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nkvd.us/s.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://prosearching.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
O1 - Hosts: 207.68.185.58 auto.search.msn.com
O1 - Hosts: 207.68.185.58 auto.search.msn.com

O4 - HKLM\..\Run: [blue base] C:\PROGRA~1\SUPPOR~1\32 amen.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wininet.exe
O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe

O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - Startup: Microsoft-Indexerstellung.lnk.disabled
O4 - Startup: Office-Start.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O13 - DefaultPrefix: http://www.nkvd.us/1507/
O13 - WWW Prefix: http://www.nkvd.us/1507/
O13 - Home Prefix: http://www.nkvd.us/1507/
O13 - Mosaic Prefix: http://www.nkvd.us/1507/


neustarten


1)dann in den abgesicherten Modus gehen und scannen mit
Antivirus, Search&Destroy, AdAware ,e-scann s

2)Dann einen OnlineScann mache, wegen der Trojaner
http://housecall.trendmicro.com/

3)Dann aktualisierst du deinen IE auf IE 6 SP1
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp

4)und Start<Programme< WindowsUpdate machen !!!


5) Zuletzt mit ClearProg den IE saeubern und unter InternetOptionen die Startseite neu einstellen.

6) Lade den Firefox als Zweitbrowser...dann hast du keine Probleme mehr mit Hijackern.
http://www.firebird-browser.de/
----------------------------------------------------------------------------------

Poste dann dein Log noch einmal.
MfG
Nikita

[Nikita]

@ComputerDirk

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wininet.exe
O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe


muessen auch unbedingt raus und eventuell noch manuell in Windows beseitigt werden,
Man muss im Log Zeile fuer Zeile durchgehen, damit man nichts wichtiges vergisst.
Gruss
Nikita

[Rosenkrantz]

hi nikita,

vielen dank für deine tipps. wie du siehst hab ich für das ganze zwei tage gebraucht (mit unterbrechungen klarerweise), jetzt schaut die onlinewelt allerdings schon viel besser aus

unten der aktuelle hijackthislog.
wie du siehst ist dieses verdammte 32 amen.exe noch immer nicht verschwunden, lässt sich nach wie vor nicht aus seinem ordner ("support mix live") löschen! und das nach sämtlichen scans mit adaware, spybot, e-scan, housecall...

irgendeine idee, wie ichs trotzdem loswerden könnte?

den gammaloader habe ich bewusst nicht gelöscht. nach meinen informationen ist der für die farbabstimmung auf dem bildschirm notwendig (hab einen laptop). würde deine meinung dazu aber gern hören.


Logfile of HijackThis v1.97.7
Scan saved at 12:22:15, on 08.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\PROGRA~1\SUPPOR~1\32 amen.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [blue base] C:\PROGRA~1\SUPPOR~1\32 amen.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90 ... scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab

danke für deine mühen,
k.

[Rosenkrantz]

hallo nikita,

vergiss meine letzte frage wegen amen.exe. habe das ding im abgesicherten modus gelöscht habe also mein neuerworbenes wissen aktiv angewandt.

nochmal thanks,
k.

[Nikita]

Hallo Rosenkrantz

Wenn man einen 04 Eintrag zum fixen angibt, wird die betreffende exe nur aus dem Autostart geholt.
HijackThis loescht ueberhaupt nichts.
Wenn du dann den Adobe brauchst, laedt er sich automatisch in den Autostart.
Manchmal sage ich den Leuten, z.B, dass sie durch das fixen BrennProgramme ua. rausnehmen sollen.
Es ist das Gleiche wie Start<Ausfuehren<msconfig<Systemsteuerung...Haken raus.

Wenn allerdings ein Trojaner oder Virus im Autostart verbeibt, laesst er sich nicht loeschen
Im abgesicherten Modus gibt es keine Autostarteintraege und deshalb kann man dort alles loesche, was man will.
Froehliches Surfen wuenscht
Nikita

[philman]

Hallo zusammen.

Ich habe ein ähnliches Problem. Bei mir hat sich nkvd.us eingefressen und ich weiß nun nicht, was ich dagegen machen kann. Kenne mich zwar ein bisschen mit PCs aus, aber leider nicht genügend um es selbst zu entfernen.

Wäre für jede Hilfe dankbar.

Gruß, Philipp

[Nikita]

@philman

Lade das HijackThis
laden, scanne, save, das Log mit der Maus kopieren und ins Forum kopieren
Dann koennen wir besser helfen.
http://board.protecus.de/showtopic.php?threadid=9391

Ansonsten kannst du das nkvd.us im abgesicherten Modus loeschen.(was ist das eigentlich????)
und alle Tools anwenden, die weiter oben gepostet sind.

Aber besser, du postest den HijackThis.Log.
MfG
Nikita

http://securityresponse.symantec.com/av ... rojan.html

[philman]

Hab das gemacht was du gesagt hast. Hier ist es:

Running processes:
N:\WINDOWS\System32\smss.exe
N:\WINDOWS\system32\winlogon.exe
N:\WINDOWS\system32\services.exe
N:\WINDOWS\system32\lsass.exe
N:\WINDOWS\system32\svchost.exe
N:\WINDOWS\System32\svchost.exe
N:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
N:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
N:\WINDOWS\system32\spoolsv.exe
N:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
N:\WINDOWS\system32\ZoneLabs\vsmon.exe
N:\WINDOWS\wanmpsvc.exe
N:\WINDOWS\Explorer.EXE
E:\Neolec Maus\MOUSE32A.EXE
E:\Neolec Desktop\KbdAp32A.exe
N:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\ZONEAL~1\zlclient.exe
E:\Tweak-XP Pro\AdBlocker.exe
E:\WinAce\WinAce.exe
N:\DOKUME~1\Philipp\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1525/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1525/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1525/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1525/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1525/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1525/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1525/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1525/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LWBMOUSE] E:\Neolec Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] E:\Neolec Desktop\KbdAp32A.exe
O4 - HKLM\..\Run: [ccApp] "N:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] E:\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [BlockAds] "E:\Tweak-XP Pro\AdBlocker.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: http://www.nkvd.us/1525/
O13 - WWW Prefix: http://www.nkvd.us/1525/
O13 - Home Prefix: http://www.nkvd.us/1525/
O13 - Mosaic Prefix: http://www.nkvd.us/1525/


Hoffe du kannst mir helfen

[Nikita]

Fixe mit dem HijackThis:also, noch einmal scannen, aber dann den Button <fix< , vorher anhaken, was ich gepostet habe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1525/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1525/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1525/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1525/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1525/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1525/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1525/
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1525/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1525/
O13 - DefaultPrefix: http://www.nkvd.us/1525/
O13 - WWW Prefix: http://www.nkvd.us/1525/
O13 - Home Prefix: http://www.nkvd.us/1525/
O13 - Mosaic Prefix: http://www.nkvd.us/1525/

neustarten
-------------------------------------------------------------------------------------
schau mal in c:\Windows\System32\drivers\etc\hosts rein, was da drin steht.
Im Normalfall sollte dass hier drin stehen.
127.0.0.1 localhost
#Orginal Host Datei
alles andere loeschen

#Loesche die TemporaryInternetFiles und Cookies und OfflineSeiten unter InternetOptionen oder laedst du den ClearProg
http://www.clearprog.de/
--------------------------------------------------------------------------------------
Versuche folgendes zu laden:
http://www.trojaner-info.de/anleitungen ... blank.html
(AdAware (free...updaten...scanne)
Spybot
CWSHredder.......schliesse das Internet vor dem Scannen
Sphj.exe.............schliesse das Internet vor dem Scannen

------------------------------------------------------------------------
Manuelles Entfernen von
thhp://www.nkvd.us/s/htm

#Click "Start" -> Start<Ausfuehren<regedit<o.k

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/SharedTask/Scheduler
Loesche alle Eintraege auf der rechten Seite (rechtsklick und <loeschen<

#Dann gehe zu:
HKEY_CURRENT_USERsoftwareclassesCLSID{3F143C3A-1457-6CCA-0A7 oder bei: Win XP!) -7AA23B61E40F} und loesche diesen Schluessel

Neustarten

# C:WINDOWSsystem32 folder.
loesche mtwirl32.dll (mtwirl.dll - fuer WinXP)

------------------------------------------------------------------------------------------
Lade den Firefox als ZweitBrowser(Hijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php

Update den IE(falls du den IE SP1 noch nicht hast)
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp

------------------------------------------------------------------------------------------


Nach dem Scannen mit diesen Tools und dem manuellen Entfernen stellst du die Startseite unter InternetOptionen neu ein und postest das Log noch einmal.
Gruss
Nikita

[philman]

Danke für deine Hilfe Nikita. Ich habe jetzt das Problem behoben durch eines der Programme die du mir genannt hast.

Vielen, vielen Dank. Du bist echt klasse und sehr hilfreich.


Cya