quick web search & pop-up probleme

#1 Hallo ersteinmal!
Ich habe seit ein paar Tagen folgendes Problem:
Wenn ich meinen Internet Explorer starte, erschein von selbst eine Seite mit der überschrift "quick web search". IN der leiste in der normalerweis die Internetadressen eingegeben werden steht jedoe "about:blank". Mit adaware, cws shredder und spybot war ich leider nciht in der lage das problem zu beseitigen.
Weiters habe ich mein mein hijackthislogfile schon auswerten lassen auf "hijackthis.de". Hierbei wurde zwar infektionen gefunden, die ich dann gefixt habe, allerdings waren sie beim nächsten mal wieder da!
Ich wäre sehr dankbar, wenn mir hier jemand weiterhelfen könnte, da ich langsam am verzweifeln bin!

MfG,
Georg B.

hier mein hjt-logfile

Logfile of HijackThis v1.99.1
Scan saved at 12:02:08, on 14.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\addri32.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\iexi32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {33AC5F10-1C95-86A7-25C4-F0E4BD5677F2} - C:\WINDOWS\iedc.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iexi32.exe] C:\WINDOWS\iexi32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: ebk - {1E411CE8-FE8B-4973-B8E0-6EA2CC3C6B06} - C:\WINDOWS\System32\ebkp.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#2 Fix bitte das im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rgmgh.dll/sp.html#36663
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {33AC5F10-1C95-86A7-25C4-F0E4BD5677F2} - C:\WINDOWS\iedc.dll
O4 - HKLM\..\Run: [iexi32.exe] C:\WINDOWS\iexi32.exe
O18 - Protocol: ebk - {1E411CE8-FE8B-4973-B8E0-6EA2CC3C6B06} - C:\WINDOWS\System32\ebkp.dll

Starte neu und arbeite mal die Punkte aus diesem Thread ab:

http://board.protecus.de/t9373.htm

Nach alle dem solltest du noch ein aktuelles Hijackthis Log postn.
__________
MfG Ralf
SEO-Spam Hunter

#3 danke erstmals für die schnelle antwort!

ich habe jetzt alle schritte durchgeführt! Im abgesichetren modus waren, allerdings einige der datein die gefixt werden sollten nciht zu finden. und die startseite (quick web search) ist leider auch noch immer da.

hjt-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:27:07, on 14.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msov32.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis_199.zip\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {5130E8BC-9CAA-2FD0-FBA4-5C75D8103678} - C:\WINDOWS\sysdt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msov32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#4 HijackThis-Logs generell NICHT im abgesicherten Modus erstellen, dadurch werden die Ergebnisse verfälscht.

Des weiteren besorge dir einmal folgende Programme und lasse sie im abgesicherten Modus durchlaufen:

se.dll\sp.html - Cleaner-Tool
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
CWShredder: (vor Benutzung updaten!)
http://cwshredder.net/bin/CWShredder.exe
AdAware: (vor Benutzung updaten!)
http://www.lavasoft.de/support/download/
Spybot S&D: (vor Benutzung updaten!)
http://www.safer-networking.org/de/download/index.html
eScan: (vor Benutzung updaten!)
http://www.mwti.net/antivirus/free_utilities.asp

Poste ein Log von eScan:

Zitat

Quelle: http://board.protecus.de/t16317.htm

- Ich habe die Anleitung zu eScan sorgfältig durchgelesen, doch im Forum heißt es immer ich soll ein Log von eScan posten, wie funktioniert das?
Scanne dein System im abgesicherten Modus, wie in der Anleitung beschrieben. Nachdem der Scanvorgang beendet ist. klicke auf "View Log". Der Texteditor öffnet sich, speichere das .txt File am Besten vollständig ab, falls du es für eine spätere Verwendung noch einmal brauchst. Öffne dann mit der Tastenkombination [Strg] + [F] die Suchfunktion, gebe "infected" (ohne die Anführungszeichen) ein und durchsuche das Logfile nach allen Treffern. Betroffene Zeilen komplett abkopieren und im Forum posten, sowie die Scanauswertung am Ende des Logfiles (Anzahl der Virenfunde, Fehler, etc).

Und anschließend wie raman schon sagte ein aktuelles HijackThis-Log (nicht im abgesicherten Modus erstellt)
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 hallo malkesh!
auch dir gleich mal danke für die hilfe! habe jetzt alle schritte ausgeführt! die logs sehen folgendermaßen aus:

eScan:

Thu Jul 14 17:46:52 2005 => File C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-234377ea-29a6f937.zip infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:46:56 2005 => File C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv611.jar-122156ba-4187eb03.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\027F6DAC.cla infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2CA86D22.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2CA86D22.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2CB26B17.cla infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2CB83F10.cla infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2CBF1309.cla infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2CCF64F7.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\32284D37.tmp infected by "Trojan-Downloader.Java.OpenConnection.v" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:48 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\33BE393D.cab infected by "Trojan-Downloader.Win32.Alchemic" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:49 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\42D10519.tmp infected by "Trojan.Java.ClassLoader.z" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:49 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\45610A9A.tmp infected by "Trojan.Java.ClassLoader.k" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:49 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\55EB0F73.tmp infected by "Trojan-Dropper.Win32.Small.uf" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62DD1403.cla infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62E03DFF.cla infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62E03DFF.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62E03DFF.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62E367FC.cla infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\631B0BD6.exe infected by "Trojan-Downloader.Win32.Small.ahg" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\63684962.exe infected by "Trojan-Downloader.Win32.Alchemic" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6AFF7239.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6AFF7239.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6B09702E.cla infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6B16181F.cla infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6B1D6C18.cla infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6B2D3E06.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\78347170.cla infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\78347170.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\78347170.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\791C347A.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7BDA6C36.htm infected by "Exploit.VBS.Phel.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7BE71428.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7BF1121D.cla infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7BF16682.cla infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7BFB1012.cla infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.
Thu Jul 14 17:54:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7C02640B.cla infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.

Thu Jul 14 18:09:13 2005 => ***** Scanning complete. *****

Thu Jul 14 18:09:13 2005 => Total Objects Scanned: 35309
Thu Jul 14 18:09:13 2005 => Total Virus(es) Found: 67
Thu Jul 14 18:09:13 2005 => Total Disinfected Files: 0
Thu Jul 14 18:09:13 2005 => Total Files Renamed: 0
Thu Jul 14 18:09:13 2005 => Total Deleted Objects: 0
Thu Jul 14 18:09:13 2005 => Total Errors: 110
Thu Jul 14 18:09:13 2005 => Time Elapsed: 00:27:42
Thu Jul 14 18:09:13 2005 => Virus Database Date: 2005/06/24
Thu Jul 14 18:09:13 2005 => Virus Database Count: 136182

Thu Jul 14 18:09:13 2005 => Scan Completed.



hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:53:59, on 14.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\iexi32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\msyk.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hdlkc.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hdlkc.dll/sp.html#36663
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hdlkc.dll/sp.html#36663
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {5130E8BC-9CAA-2FD0-FBA4-5C75D8103678} - C:\WINDOWS\sysdt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iexi32.exe] C:\WINDOWS\iexi32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msyk.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#6 Hast du das se.dll\sp.html - Cleaner-Tool erfolgreich ausgeführt?
Versuche es bitte noch einmal bevor du irgendetwas weiteres mit HijackThis fixt und gebe Rückmeldung.

Danach tu bitte folgendes:

Besuche www.windowsupdate.com und versorge dein System mit ALLEN erhältlichen Sicherheitspatches!
Es kann sein, das du die Seite dazu mehrmals besuchen musst nachdem du einen Patch installiert und neu gestartet hast.

- leere die Quarantaine deines Norton AntiVirus
- lösche dann noch folgende Dateien:
C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-234377ea-29a6f937.zip
C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv611.jar-122156ba-4187eb03.zip

Fixe danach mit HijackThis:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hdlkc.dll/sp.html#36663
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hdlkc.dll/sp.html#36663
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hdlkc.dll/sp.html#36663
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {5130E8BC-9CAA-2FD0-FBA4-5C75D8103678} - C:\WINDOWS\sysdt.dll
O4 - HKLM\..\Run: [iexi32.exe] C:\WINDOWS\iexi32.exe
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msyk.exe

Mache den Panda-Online-Scan:
http://virus-protect.org/onlinescan.html
und gebe bitte Rückmeldung.

Besorge dir den RegCleaner von hier:
Download von chip.de
Installiere den RegCleaner wie jedes andere Programm und starte ihn danach, akzeptiere die Lizenzbedingungen und du solltest dich auf der Programmoberfläche befinden. Wähle nun zuerst:
Options >> Language >> Select Language >> und wähle die "deutsch.rlg" aus um das Tool auf Deutsch umzustellen.
Danach gehe auf:
Tools >> Registry säubern >> verwaiste Einträge finden
Das Programm fängt an deine Registry zu durchsuchen, im Anschluss an die Suche erhälst du eine Übersicht der gefundenen Einträge. Markiere alle gefundenen verwaisten Einträge und entferne sie mit dem Button [markierte entfernen] (unten rechts im Fenster des Tools). Keine Sorge, der RegCleaner erstellt ein Backup.

Scanne danach erneut mit eScan und HijackThis und poste die aktuellen Logs.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7 danke nochmals für die arbeit die du dir machst um mir zu helfen! ich habe jetzt alle schritte befolgt!
das "se.dll\sp.html - Cleaner-Tool" sagt, dass mein computer nicht infiziert ist. allerdings konnte ich den panda-onlince-scan nicht anwenden, da ich die meldung "IEXPLORE:EXE hat ein Problem festgestellt und muss beendet werden" erhielt.


hier nun die neuen logfiles:

eScan:

Thu Jul 14 21:31:48 2005 => File C:\System Volume Information\_restore{2333A73B-E0D9-475C-87EB-333482AA517B}\RP114\A0023235.exe infected by "Trojan-Downloader.Win32.Alchemic" Virus! Action Taken: No Action Taken.
Thu Jul 14 21:31:49 2005 => File C:\System Volume Information\_restore{2333A73B-E0D9-475C-87EB-333482AA517B}\RP114\A0023245.exe infected by "Trojan-Downloader.Win32.Small.ahg" Virus! Action Taken: No Action Taken.

Thu Jul 14 21:38:07 2005 => ***** Scanning complete. *****

Thu Jul 14 21:38:07 2005 => Total Objects Scanned: 37206
Thu Jul 14 21:38:07 2005 => Total Virus(es) Found: 37
Thu Jul 14 21:38:07 2005 => Total Disinfected Files: 0
Thu Jul 14 21:38:07 2005 => Total Files Renamed: 0
Thu Jul 14 21:38:07 2005 => Total Deleted Objects: 0
Thu Jul 14 21:38:07 2005 => Total Errors: 113
Thu Jul 14 21:38:07 2005 => Time Elapsed: 00:19:53
Thu Jul 14 21:38:07 2005 => Virus Database Date: 2005/06/24
Thu Jul 14 21:38:07 2005 => Virus Database Count: 136182

Thu Jul 14 21:38:07 2005 => Scan Completed.


hijachthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:40:33, on 14.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msyk.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\escheck\eScanCheck110.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 14 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msyk.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#8 @georg_b,

Um den Hijacker loszuwerden, mache Folgendes:

Deaktiviere die XP-Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften).

Lade Dir herunter

AboutBuster
http://www.spychecker.com/program/aboutbuster.html
(Tutorial
http://www.besttechie.net/forums/index.php?showtopic=1488 )

CCleaner
http://www.ccleaner.com/ccdownload.asp

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Öffne den Texteditor (Notepad) und kopiere nachstehenden Text hinein

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä.#·ºÄÖ`I]

[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa]

Speichere die Datei als fixme.reg auf dem Desktop (Dateityp: "Alle Dateien" wählen!)

Fixe mit HJT
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msyk.exe


Öffne die Killbox => Delete on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten:
C:\WINDOWS\hdlkc.dll (falls noch vorhanden)
C:\WINDOWS\system32\msyk.exe
C:\WINDOWS\sysdt.dll (falls noch vorhanden)
C:\WINDOWS\iexi32.exe

Starte den Rechner im abgesicherten Modus (F8 beim Booten drücken)

Doppelklicke fixme.reg

Öffne AboutBuster und scanne Dein System mehrmals, bis keine Fehlermeldung mehr kommt.

Gehe in den Normalmodus und öffne CCleaner. Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc.

Aktiviere die Systemwiederherstellung wieder.

Öffne das eScan Log noch mal und suche nach Zeilen mit "tagged" und poste sie hierher.

Lade Dir herunter DllCompare
http://www.atribune.org/downloads/DllCompare.exe
Locate.com Button drücken und wenn der Scan beendet ist Compare button drücken
Es erscheint eine Liste von Dll's im unteren Fenster. Jede einzelene Datei rechtsklicken => Rescan drücken. Wenn das mit allen getan ist, erstelle das Log => posten

Poste ein aktuelles Log von HJT.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch