hoffe ihr könnt mir helfen :(
ich hab mir irgendwie nen hijacker(?) eingefangen
ich habs inzwsichen teilweise geschaft den zu killen aber eben nicht ganz...
immer wenn ich den ie öffne ist alles ok
öffne ich ihn erneut kommt
http://thomepage.com
ich kanns dann wieder auf meine eigende startseite umstelleb aber es kommt immer wieder :(
mit dieser http://www.peterhuth.de/hijacker02.php anleitung hab ich die alle geändert
aber startpage verändert sich automatisch :(
das ding trägt sich immer mit
http://%68%6F%6D%65%70%61%67%65%2E%63%6F%6D
%00@%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E %63%63/%68%70
ein ...
pls help

nochn prob
vorher hatte ich immer sone art auswahlfenster
dh ich hab einmal den nick für zb nen forum eingegeben und danach brauchte ich nur ein doppelklick oder nen anfangsbuchstaben eingeben und hatte schon den namen zur auswahl
- wie krieg ich das wieder?
das muss irgendwie passiert sein als ich in der reg rumgefummelt habe o_O

mmm...

Hijackthis downloaden (Link in meiner Signatur), scannen, Log erstellen, Log posten ...

Ad-Aware, Spybot und CWS Shredder (Links gibt es im Viren-Sticky) mal das System scannen lassen(vorher die Progs updaten!).

EDIT:
Lokadamus, ich wußte es ... hast den Satz schon fertig in einer txt Datei kullern? X-D

Logfile of HijackThis v1.97.7
Scan saved at 19:58:48, on 12.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TBPANEL.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\TEMP\~VIS0000\FSG_4104.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.798\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = C:\STARTER.HTM
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\STARTER.HTM
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\STARTER.HTM
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/STARTER.HTM
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\STARTER.HTM
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\STARTER.HTM
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = no
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = no
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\STARTER.HTM
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = C:\STARTER.HTM
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = C:\STARTER.HTM
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = C:\STARTER.HTM
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\DPE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE /O
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Sqlwbpv] C:\WINDOWS\SYSTEM\disktask.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Trickler] "c:\windows\temp\~vis0000\fsg_4104.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\MSXMIDI.EXE
O4 - HKCU\..\RunServices: [AddClass] C:\WINDOWS\MSXMIDI.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted Zone: *.msn.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/d2c89f68a1bb5a/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37964.3188657407
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\ss.MHT!http://64.237.47.178//chm.chm::/1/e.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.0.68
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing)
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing) (HKLM)


___________
starter.htm ist meine eigene startseite- damit dort keine missverständtnisse auftauchen
thx 4 help

mmm...

Im Taskmanager abschiessen:
C:\WINDOWS\TEMP\~VIS0000\FSG_4104.EXE => Spyware (http://www.liutilities.com/products/wintaskspro/processlibrary/fsg_4104/), kommt von IMesh

Mit Hijackthis diese Sachen entfernen:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 => ist das dein Proxy ???
O4 - HKLM\..\Run: [Trickler] "c:\windows\temp\~vis0000\fsg_4104.exe" => Spyware, löschen ...

Hier solltest du mal nachschauen, von wem die Dateien stammen, eventuell sind sie wichtig, eventuell sind sie Spyware (bevor du sie entfernst, solltest du sie lieber in einen anderen Ordner schieben, Einträge eher nicht entfernen, sonder eine Fehlermeldung am Anfang ignorieren):
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\DPE.DLL => wo kommt das her? Google kennt sowas nicht ...
O4 - HKLM\..\Run: [Sqlwbpv] C:\WINDOWS\SYSTEM\disktask.exe => Google kennt das nicht, was ist das ?

In der Ereignisanzeige sollte dann drinne stehen, was nicht gestartet werden konnte ...

Sephirot
Nö, ich tippe so schnell :p ...

super ich scheins gekillt zu haben DANKE

'O4 - HKLM\..\Run: [Sqlwbpv] C:\WINDOWS\SYSTEM\disktask.exe => Google kennt das nicht, was ist das ?
' das ist irgendwas von me wenn ich mich nicht irre
kanns aber nicht beschwörren :D (auf jeden falls meckert er das gehört irgendwie zur rundll und er kanns nicht löschen)


weiss jmd ne antwort auf '
vorher hatte ich immer sone art auswahlfenster
dh ich hab einmal den nick für zb nen forum eingegeben und danach brauchte ich nur ein doppelklick oder nen anfangsbuchstaben eingeben und hatte schon den namen zur auswahl
- wie krieg ich das wieder?
das muss irgendwie passiert sein als ich in der reg rumgefummelt habe o_O'

habs schon mit der autovervollständigung
nochmals thx ^^

Also habs mal hier in den Thread geschrieben.
Scheine mir nen Hijacker eingefangen zu haben. Immer wenn ich den IE öffnen will,kommt ne leere seite(about:blank). Hab schon mit CWShredder probiert diesen zu killen, aber die leere seite taucht immer wieder auf.(hab natürlich auch dann die startseite geändert).
Hab hier mal das Log, hoffe ihr könnt mir helfen...



Logfile of HijackThis v1.97.7
Scan saved at 18:44:57, on 25.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: (no name) - {8FD76B14-3A29-491A-99C8-1EC71DC9F7FD} - C:\WINDOWS\SYSTEM\GCG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\PROGRAMME\RIVATUNER\RIVATUNER.EXE" /S
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Diese Einträge kannst du löschen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)

Diese Einträge ebenfalls und die dazugehörigen Dateien auch:
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) <-- nutzloser Eintrag
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL <-- Spyware (http://www.winpatrol.com/db/freesample/mybar.html), hat sich eventuell als MyWay unter Software eingetragen
O2 - BHO: (no name) - {8FD76B14-3A29-491A-99C8-1EC71DC9F7FD} - C:\WINDOWS\SYSTEM\GCG.DLL <-- unbekannt, trägt sich aber als Seite ein, löschen
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL <-- Spyware

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\PROGRAMME\RIVATUNER\RIVATUNER.EXE" /S <-- gehört zu deiner Graka, oder?
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.de <--- komischer Eintrag, soll das deine neue Startseite werden?

Hast dir für ICQ 2 Spiele installiert? der letzte Eintrag sieht nutzlos aus, kann weg ...
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\GCG.DLL/sp.html (obfuscated)
O2 - BHO: (no name) - {8FD76B14-3A29-491A-99C8-1EC71DC9F7FD} - C:\WINDOWS\SYSTEM\GCG.DLL
-> reparieren lassen


O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
-> weg

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
-> Vermutlich Spyware oder Ähnliches sprich hinweg damit !

Rechner von Vobis ?

Bitte unbedingt Neustarten nach der Reparatur udn dann mal Vollscan mit Ad-Aware/Spybot/CWShredder und Virenscanner - Links siehe Signatur
Sollte wieder was auftauchen kann es sein das sich Teile dieser Programme aus der Systemwiederherstellung wieder hergestellt werden - dann diese abschalten und Neustart und neuer Vollscan .

BTW : Browserwechsel dürfte sehr hilfreich sein gegen Hijacker und den Spionagekram

Danke an euch beide, es läuft alles wieder wie es soll...doch nicht...diese gcg.dll datei taucht immer wieder auf, und gelöscht krieg ich sie auch nicht, weil windows sie gerade verwendet...und "abschalten" kann ich sie auch nicht...hab adaware/CWshrader drüberlaufen lassen, aber immer noch das selbe problem...

Nachdem, ich glaube ich den letzten post ca.5 mal geändert habe, schreibe ich nochmal....verfluchte gcg.dll datei....

mmm...

Das Problem wird sein, das gcg.dll zu irgendeinem anderen Programm gehört. Die Frage ist nur, zu welchem? mit Pech gehört es zu ICQLite, sprich ICQLite beenden und dann nochmal versuchen, das Teil zu entfernen. Es könnte auch sein, das es sich als was anderes ausgibt, nur leider hab ich kein ME, um nachzuschauen, ob die Dienste alle wirklich aus System aufgerufen werden und zu MS gehören ... im Normalfall hätte ich gesagt, mail mir das Teil, aber momentan fühle ich mich etwas groggy, weshalb jemand anderes es sich mal anschauen soll. Genauso könntest du auch noch deine Registry nach gcg.dll durchsuchen, vielleicht findest du dort noch einen weiteren Aufruf für dieses Teil ...

so hab, das Teil ma im abgesicherten Modus gelöscht...es sieht danach aus, das ich nix beschädigt habe, es läuft alles wie es zu laufen hat.

Aber natürlich musste da ein Haken sein, nun bootet mein PC jahrelang...(ca. 2min)

mmm...

Solange darf er aber nicht booten, wäre ärgerlich, wenn die Health- Funktion angesprungen ist und das Teil wieder hergestellt hat. Ansonsten kannst du mal nachschauen, ob du eine feste IP drinne hast, vielleicht pingt Windows sinnlos in der Gegend rum ...