Startseite kommt wieder - Bitte um Hilfe bei Log-Auswertung

#1 Liebe Experten,

ich bin verzweifelt und bitte um Eure fachmännische Hilfe.

1. Habe mir eine search for... - Startseite eingefangen. Nach Nutzung von CWShredder, Spybot und Hijacker ist sie entfernt, kommt aber wieder, wenn ich im Internet war. Bei den IE-Einstellungen ist die herkömmliche Default-Seite mittlerweile wie folgt: ???. Mittlerweile habe ich mir alle verfügbaren Windows-Updates unter windowsupdate.com heruntergeladen.

2. Zudem wird mein Rechner ziemlich langsam beim Surfen. Wenn ich einen Link klicke, dann dauert die Verarbeitung 1-2 Minuten. Welche Gründe könnte dies haben?

Anbei einmal meine aktuelle Logs aus Hijacker. Würde mich sehr sehr über Hilfe zu 1 und 2 freuen. Besten Dank dafür!!!


Logfile of HijackThis v1.98.2
Scan saved at 09:09:01, on 26.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\CPQDIAG\CPQDFWAG.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\scagent.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
c:\program files\timbuktu pro\tb2launch.exe
C:\WINNT\NetopiaRC\Tb2RCAssist.exe
c:\program files\timbuktu pro\tb2pro.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
c:\program files\timbuktu pro\TNOTIFY.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\joedi\programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von 1 & 1 Internet AG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {F5129285-DA84-4442-8BBB-F02CC7643F72} - C:\WINNT\System32\mkcapa.dll
O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\winnt\sr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [CPQAcDc] C:\Programme\Compaq\PowerCon Enhancements\CPQAcDc.Exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [Tb2initPath] "c:\program files\timbuktu pro\tb2init.exe"
O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\httpfilter.dll
O18 - Filter: text/plain - {5AB7B030-3408-4242-8A07-E6B44286117A} - C:\WINNT\System32\mkcapa.dll

Ergänzung:

Automatische Log-Auswertung unter hijacker.de habe ich schon mehrfach durchgeführt. Weg ist die Startseite nun. Ich denke jetzt ist ein Schutz gefragt, wie ich sie nicht mehr bekomme.
Virenscanner und Firewall besitze ich nicht.

Freue mich auf Tipps. Danke!!

Jörg

#2 Nutz mal Escan und poste dann ein neues Log:
http://www.trojaner-info.de/hijacker/escan.shtml
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

danke für den Tipp. EScan hat allerhand Zeug gefunden. Hier nun noch einmal das neue Log. Automatische Auswertung bei hijackthis.de ergab nur ein paar Unbekannte. Um ein Feedback wäre ich dankbar.

Grüße
Jörg


Logfile of HijackThis v1.98.2
Scan saved at 16:49:16, on 26.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\CPQDIAG\CPQDFWAG.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
c:\program files\timbuktu pro\tb2launch.exe
C:\WINNT\NetopiaRC\Tb2RCAssist.exe
c:\program files\timbuktu pro\tb2pro.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
c:\program files\timbuktu pro\TNOTIFY.EXE
C:\WINNT\system32\Promon.exe
C:\Programme\Compaq\PowerCon Enhancements\CPQAcDc.Exe
C:\WINNT\system32\PRPCUI.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\joedi\programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von 1 & 1 Internet AG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [CPQAcDc] C:\Programme\Compaq\PowerCon Enhancements\CPQAcDc.Exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [Tb2initPath] "c:\program files\timbuktu pro\tb2init.exe"
O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe

#4 Fix noch das:

O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

Dann neu starten. Du weisst, was "timbuktu pro" ist?
__________
MfG Ralf
SEO-Spam Hunter

#5

Zitat

raman postete
Dann neu starten. Du weisst, was "timbuktu pro" ist?

Nein, keine Ahnung. Sollte ich?

Danke, Jörg

P.S.: IE ist wieder deutlich schneller.

#6 Naja, irgendwie muss das da ja hingekommen sein!

Klicke bitte Start/ausfuehren und tippe dort msconfig und druecke dann ok. Unter Systemstart findest du den Eintrag Tb2initPath enthake das mal und starte dann neu.


Schicke dann mal
c:\program files\timbuktu pro\TNOTIFY.EXE
c:\program files\timbuktu pro\tb2launch.exe
c:\program files\timbuktu pro\tb2init.exe
C:\WINNT\NetopiaRC\Tb2RCAssist.exe

an virus@protecus.de Am besten vorher mit Winrar oder winzip packen.
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo,

msconfig konnte leider nicht gefunden werden?!

#8 Uh, Win2000 hat Standardmaessig kein MSconfig? Egal, du kannst es auch mit deinem Hijackthis im C:\joedi\programme\hijackthis Ordner machen. Nur dann bitte nicht den Ordner loeschen. Sonst gehen die Backups auch "floeten".
__________
MfG Ralf
SEO-Spam Hunter

#9 Hm, ich verstehe leider nur Bahnhof. Was soll ich im hijackthis Ordner machen?

#10 Mit Hijackthis diesen Eintrag fixen und neu starten:
O4 - HKLM\..\Run: [Tb2initPath] "c:\program files\timbuktu pro\tb2init.exe"

und danach schauen, ob unter "running processes" das noch steht:
c:\program files\timbuktu pro\TNOTIFY.EXE
c:\program files\timbuktu pro\tb2launch.exe
c:\program files\timbuktu pro\tb2init.exe
C:\WINNT\NetopiaRC\Tb2RCAssist.exe
__________
MfG Ralf
SEO-Spam Hunter

#11 ...auper tb2init.exe laufen alle, wie ich im TaskManager unter Prozesse gesehen habe.

Bisher kam die Startseite noch nicht zurück. Sieht also gar nicht so schlecht aus. Danke jedenfalls schon mal für die Hilfe!

Gruß
Jörg