Mhm, mir fällt keine bessere überschrift ein :(

jedenfalls nach nem klick auf nen google link, gabs en pop-up fenster und dess hat wohl irgend was installiert, tjo und antivir, spybot search&destroy finden auch nix.
Hab mal die registry und neu erstelle dateien untersucht und einige sachen gelöscht , aber als Standard-Seite wird immer so ne spamseite gebracht und ich kann keine links eingeben.

Zum glück war ja noch firefox auffer platte und nun hab ich mein debut damit (sonst könnt ich nix posten)

hoffentlich kann mir jemand aus der misere helfen, und mir nen tool oder so sagen oder ne lösung damit ich den scheiß den ich anscheinend unfreiwillig runtergeladen hab durch aktiveX-pop up fesnter wieder loswerde.

Mit HijackThis (http://www.hijackthis.de/downloads/hijackthis_199.zip) ein Log erstellen und hier posten.

edit: sry, nächstes mal werd ichs posten.

Das nächste mal hier posten und nicht hochladen!

Hier das Log.

Logfile of HijackThis v1.99.0
Scan saved at 16:19:57, on 24.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\Programme\ATITool\ATITool.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dean\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.blitzbox.de/sygate/registrierung/standard.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix: http://ehttp.cc/?
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3890B515-BCC5-4F43-88C6-C5D0D0D7D3C7}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O13 - DefaultPrefix: http://ehttp.cc/?

den eintrag hab ich entfernt, kann jetzt wieder auf andere seiten zugreifen folglich.
jedoch bleibt noch das prob mit der startseite die sich immer wieder einrichtet.

dies wird in der Adresszeile immer angezeigt:
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm
(falls es weiterhelfen kann)

C:\WINDOWS\System32\CTFMONSS.EXE -> nichts gefunden - Böse?
C:\WINDOWS\System32\CSRSSW.EXE -> Ich bin Böse - fixen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home -> fixen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home -> fixen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.blitzbox.de/sygate/registrierung/standard.htm -> fixen
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll -> Ich bin Böse - fixen
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) -> fixen
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE -> nichts gefunden - Böse?
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE -> Ich bin Böse - fixen
O13 - DefaultPrefix: http://ehttp.cc/? -> Ich bin Böse - fixen

'edit'
Laut diesem Forum (http://www.rokop-security.de/board/index.php?showtopic=6745) kann die Datei "CTFMONSS.EXE" auch gefixt werden.

Das mit der Startseite hatte ich auchmal.Schuld war ein trojaner der alles mögliche an progs installiert hat und exe dateien verseucht hat.
Habs mit den standard-prgrammen ( adaware,spybotSD,Antivir,Stinger usw.) auch nicht wegbekommen.
Geholfen hat ein Scan mit eScan, zu finden hier :

www.mwti.net

Die Vollversion kostet zwar, aber die testversion findet trotzdem alles, enfernen muss man es leider manuell.


viel Glück


PET

C:\WINDOWS\System32\CTFMONSS.EXE -> nichts gefunden - Böse?
C:\WINDOWS\System32\CSRSSW.EXE -> Ich bin Böse - fixen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home -> fixen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home -> fixen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.blitzbox.de/sygate/registrierung/standard.htm -> fixen
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll -> Ich bin Böse - fixen
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) -> fixen
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE -> nichts gefunden - Böse?
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE -> Ich bin Böse - fixen
O13 - DefaultPrefix: http://ehttp.cc/? -> Ich bin Böse - fixen

'edit'
Laut diesem Forum (http://www.rokop-security.de/board/index.php?showtopic=6745) kann die Datei "CTFMONSS.EXE" auch gefixt werden.

Hab alles im abgesicherten Modus entfernt unter administrator, da es sonst immer wieder geladen wurde.
Scheint jetzt alles wieder beim alten zu sein.

Vielen Dank für deine schnelle Hilfe! @Anonym_001

@pet thx aber zu spät :P (wieso muss der nur so böse aussehen der smiley?)