hijacklog, kriege startpage nicht weg Einstellungen

[nagg]

Bei mir wechselt im ie ständig die Startseite. Das erste Browserfenster ist normal, aber jedes weitere öffnet folgende Startseite:

res://biczi.dll/index.html#96676

Ich bin die erste Hilfe Tips durchgegangen und poste jetzt das HiJackThis-Logfile. Ich hoffe ihr könnt mir weiterhelfen. Vielen Dank im Voraus.

Nagg

Logfile of HijackThis v1.97.7
Scan saved at 13:50:10, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfcqu.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\mfcuf32.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\applications\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BA8BD793-5432-6734-8550-4EDA48470E4D} - C:\WINDOWS\syszh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [mfcuf32.exe] C:\WINDOWS\mfcuf32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/mullekken/webinstall.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...B?38114.5828125
O16 - DPF: {BB86B550-9B1A-4666-824C-E78F0CD0CC4C} (ShortCut Class) - http://www.topsite.co.kr/topsite.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://utu.popcap.com/games/popcaploader_v5.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/sweetb.cab

[DerBilk]

... mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen...

Hi raman,

wieder was gelernt...

[Remover]

hmmm, habe das eben gemacht aber das Datum blieb gleich (20.06.)!
Dabei habe ich sogar extra c:\bases als Verzeichnis genommen.
Kann man da sonst noch was verkehrt bei machen?

So bin ich vorgegangen:
1 Mwav.exe entpackt nach c:\bases
2 Starten von kavupdate (laedt signaturen runter und zum schluss disconnect und done)
3 starten von mwav aus c:\bases
Resultat: Immer noch altes Datum

Uebrigens startet das Ding mal auf ein System mit Kaspersky 5.0
dann habt ihr immer das aktuelle Datum, egal wie alt Mwav ist.
Der scheint sich da einfach die Signaturen zu krallen, was meines
erachtens nicht gerade gut ist, das ich so nie weiss wie alt
das Teil wirklich ist und wenn man es dann kopiert und mitnimmt
auf ein System wo kein Kaspersky laeuft, startet das womoeglich
gar nicht mehr oder hat signatures von vor 1-2 Monaten.

[DerBilk]

So bin ich vorgegangen:
1 Mwav.exe entpackt nach c:\bases
2 Starten von kavupdate (laedt signaturen runter und zum schluss disconnect und done)
3 starten von mwav aus c:\bases
Resultat: Immer noch altes Datum

Vielleicht war es nur ein Tippfehler, aber Du musst die mwavscan.com starten.

Ansonsten ist die von Dir beschriebene Vorgehensweise, so wie ich es auch 'immer' mache. Gerade eben hat es noch funktioniert. Def-Datum: 2004/07/02 und Signaturen: 96184

Das Problem mit der 5er-Version kann ich jetzt nicht nachvollziehen, da ich hier noch die 4.5er habe..

[Remover]

@Derbilk

Ja die habe ich gestartet...naja vielleicht ist doch irgendwas schief gelaufen.
Werde das ganze nochmal probieren....haette ja sein koennen das
irgendwo doch noch etwas kompiliert werden muss, nach dem Download.
Dies ist aber scheinbar nicht der fall.