IE Startseite ändert sich automatisch was muss ich löschen?

Tag Zusammen,
die Anleitung zur benutzung von Hijack This auf eurer seite ist echt klasse, aber ich bin mir leider nicht sicher welche einträge ich entfernen soll, damit sich meine Startseite nicht immer selbst einrichtet. Hier mein log:

Logfile of HijackThis v1.97.7
Scan saved at 17:41:34, on 23.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
E:\ICQLite\ICQLite.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
E:\InCD\InCD.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
E:\ZoneAlarm\zonealarm.exe
C:\Dokumente und Einstellungen\Linus23\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\AcrobatReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\InCD\InCD.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] e:\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: ZoneAlarm.lnk = E:\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Bitte um Hilfe
Linus23 :'(

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Dein IE ist nicht auf dem aktuellen Patchlevel!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)

Wie schon in Klammern angedeutet: Fixen lassen!

O4 - HKLM\..\Run: [sys] regedit -s sys.reg

WEG DAMIT; HIJACKER!

Habe ich also richtig verstanden, wenn ich nun folgendes Lösche?:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
[...]
O4 - HKLM\..\Run: [sys] regedit -s sys.reg

Ist ein Update vom IE für den Erfolg dieses Vorgangs erforderlich?
Wenn ja, muss ich vorher oder nachher updaten?
Und wie ist es eigentlich wenn ich mehrere Benutzer eingerichtet habe?

Sorry für die vielen (dummen) Fragen
Linus23

Es hatte schon einen Grund, warum ich die verlinkten Hijacker-Seiten maskiert habe (h**p). Wäre schön, wenn du deine Postings auch editierst.
Die genannten Registryschlüssel dürfen natürlich NICHT gelöscht werden, wohl aber die Werte. Daher schrieb ich ja FIXEN lassen und nicht LÖSCHEN.
Die REG-Datei muss gelöscht werden. Allerdings garantiert das nicht, dass weitere Komponenten dieses oder anderer Hijacker nicht noch auf deinem PC existieren.
Auch nachdem du deinen IE aktualisiert hast, bist du keinesfalls sicher vor Browserhijackern, da diese dank der zweifelhaften Features des IE - ActiveX und ActiveScripting so oder so bei dir bald wieder Fuß fassen werden.
Wenn du dieses Problem dauerhaft beseitigen willst, wechselst du den Browser.

Ich habe leider noch nicht genau verstanden wie ich nun bei Hijack This vorgehen muss. Wenn ich folgendes mit einem Häckchen versehe und auf Fix checked klicke sind die werte zwar verschwunden, nach einem Neustart aber wieder da. Das ist das, was du als Fixen beschreibst, wie bekomme ich jetzt aber die REG-Datei gelöscht?

/* das Fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duothx.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://duothx.t.muxa.cc/h.php?aid=420 (obfuscated)
*/

/*wie das löschen?
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
*/

hi linus23,

auf dem selben weg! du markierst alles was iron dir gepostet hat und klickst auf fixen! dann sollte auch die regdatei wech sein!

Schließe auch mal den Browser vorher.

mav1976 schrieb:

...dann sollte auch die regdatei wech sein!

Zum Vergrößern anklicken....

Unwahrscheinlich. Der Eintrag im RUN-Schlüssel der REgistry wird gefixt. Dass dabei auch gleich die sys.reg gelöscht wird, ist nicht anzunehmen. Das sollte man lieber manuell erledigen.

Es hat auch ohne manuelles löschen aus der Reg funktioniert. Vielen Dank an euch alle, das Forum hier ist nur weiterzuempfehlen!
Bye Linus23

danke für die Hilfe