Problem mit WIN-ETO als Startseite im IE !!! (Hijacker?)

#1 Ich habe heute festgestellt, dass ich mir wohl einen Hijacker eingefangen habe. Die Startseite des IE lässt sich nichtmehr verändern. Sie ist auf WIN-ETO.COM geleitet.
Ist mein "erstes Mal". Ich hoffe mir kann jemand helfen.


Hier ist ein HijackThis-Logfile, den ich gerade gemacht habe:

Logfile of HijackThis v1.99.0
Scan saved at 09:44:09, on 08.01.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\os0rwwww8451pthd.exe
C:\Programme\Casio Photo Loader\Plauto.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP~1.0\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Admin\Programme\VirusScanner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31130
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\System32\911UTS~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Control handler] C:\WINNT\System32\os0rwwww8451pthd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\Casio Photo Loader\Plauto.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O20 - AppInit_DLLs: r7gjtsdruij12fl.dll.dll.dll.dll.dll.dll.dll.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe


Ich bitte, wenn möglich, um eine detailierte Beschreibung für ein weiteres Vorgehen. Ich habe ehrlich gesagt keine Ahnung davon und hoffe man kann das irgendwie beheben.

#2 Hallo@tommot

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg auf dem Desktop speichern.

REGEDIT4

[-HKEY_CLASSES_ROOT\Interface\{0D721150-AEF3-457B-B03A-5097B623CE45}]
[-HKEY_CLASSES_ROOT\Plugin6.DNSErrObj]
[-HKEY_CLASSES_ROOT\redalert.here]
[-HKEY_CLASSES_ROOT\TypeLib\{444A5674-FF85-45D4-9AE2-4199D8D70C85}]



-------------------------------------------------------------------------------------------
LADE:und alles auf dem Desktop (Arbeitsplatz) lassen , ohne zu scannen, das machst du dann erst im abgesicherten Modus (!)

#AboutBuster --> updaten (dann erst im abgesicherten Modus scannen)
www.malwarebytes.biz/AboutBuster.zip

http://bilder.informationsarchiv.net/Nikitas_Tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\System32\r7gjtsdruij12fl.dll.dll.dll.dll.dll.dll.dll.dll
C:\WINNT\System32\911UTS~1.DLL
C:\WINNT\System32\os0rwwww8451pthd.exe

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31130
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31130
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\System32\911UTS~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINNT\System32\os0rwwww8451pthd.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O20 - AppInit_DLLs: r7gjtsdruij12fl.dll.dll.dll.dll.dll.dll.dll.dll

Button "Fix checked"

Die Datei fix.reg auf dem Desktop doppelklicken.

loeschen temporaere Dateien
C:\WINNT\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (loesche nicht die index.dat)
#C:\WINNT\Downloaded Programm Files\ -->löschen

#C:\WINNT\Downloaded Programm Files\ -->löschen

C: anwendungen finden, die alle zur selben zeit entstanden sind
zum Beispiel:
C:\stop.00009_4.exe
C:\stop.31403_4.exe
C:\WINNT\system32\zona02.exe
C:\WINNT\System32\ieloader.dll
x.exe
y.exe
soundmx.exe
q205204.exe
q.exe
p.exe
ntldr.exe
mssys.exe
msdos.exe
m.exe
---------------------------------------------------------------------------
#scanne mit AboutBuster

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Gehe wieder in den Normalmodus

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier
posten

und poste das HijackThis-Log noch mal.
---------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit