IE Startseite geändert...

Hallo!
Ich hab das Problem, dass meine IE Startseite auf dieses Home Search geändert ist
Habe bisher ad-aware, CWShredder und HijackThis rangelassen, leider ohne durchschlagenden Erfolg.
Hier mal das .log file von HijackThis:

Logfile of HijackThis v1.98.0
Scan saved at 17:18:54, on 25.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\ipmw32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\d3xn.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qzdvt.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qzdvt.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qzdvt.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qzdvt.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qzdvt.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qzdvt.dll/index.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DD790369-C6A7-E989-2B28-7F01E61A5C0B} - C:\WINDOWS\system32\d3or.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [mslv32.exe] C:\WINDOWS\system32\mslv32.exe
O4 - HKLM\..\Run: [d3xn.exe] C:\WINDOWS\d3xn.exe
O4 - HKLM\..\RunOnce: [ipfb32.exe] C:\WINDOWS\ipfb32.exe
O4 - HKLM\..\RunOnce: [mfcan32.exe] C:\WINDOWS\system32\mfcan32.exe
O4 - HKLM\..\RunOnce: [ntmz.exe] C:\WINDOWS\ntmz.exe
O4 - HKLM\..\RunOnce: [netyh.exe] C:\WINDOWS\netyh.exe
O4 - HKLM\..\RunOnce: [ntcl32.exe] C:\WINDOWS\system32\ntcl32.exe
O4 - HKLM\..\RunOnce: [addia.exe] C:\WINDOWS\system32\addia.exe
O4 - HKLM\..\RunOnce: [appoh.exe] C:\WINDOWS\system32\appoh.exe
O4 - HKLM\..\RunOnce: [sysxy32.exe] C:\WINDOWS\system32\sysxy32.exe
O4 - HKLM\..\RunOnce: [msnp32.exe] C:\WINDOWS\system32\msnp32.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra->Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll


Ich wäre sehr dankbar, wenn ihr mir helfen könntet

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qzdvt.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qzdvt.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qzdvt.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qzdvt.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qzdvt.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qzdvt.dll/index.html#37049
R3 - Default URLSearchHook is missing

Zum Vergrößern anklicken....

Würd ich auf jeden Fall fixen. Die C:\WINDOWS\qzdvt.dll/sp.html#37049 auch von Hand löschen.

Die O4 - HKLM\..\RunOnce: einträge solltest du mal exe für exe abchecken!

Hi Finrod,

lies dir mal den verlinkten Artikel durch. Dort werden am Ende zwei Entfernungstools angeboten. Denke mal das da was passendes bei sein könnte.

http://www.wintotal.de/Tipps/Eintrag.php?TID=873

Anschließend kannst Du ja nochmal ein Logfile hier posten.

Außer den von Al angemerkten Einträgen in der Registry unter dem Schlüssel RunOnce solltest Du auch die folgenden mal prüfen oder prüfen lassen.

C:\WINDOWS\d3xn.exe
C:\WINDOWS\ipmw32.exe

O4 - HKLM\..\Run: [mslv32.exe] C:\WINDOWS\system32\mslv32.exe
O4 - HKLM\..\Run: [d3xn.exe] C:\WINDOWS\d3xn.exe

Zum Vergrößern anklicken....

Ein Link um die Dateien online zu scannen

http://www.antivirus-online.de/german/online.php

O2 - BHO: (no name) - {DD790369-C6A7-E989-2B28-7F01E61A5C0B} - C:\WINDOWS\system32\d3or.dll

den auch mal fixen

und wie al schon geschrieben hat alle 04 prüfen da sind einige faule progs dabei

greetz

hugo

hallo,

hatte heute den SP-Hijacker auf dem Rechner. Dank der Hilfen hier und mit dem Tool Hijackthis sowie einer aktuellen Viren-Liste mit McAffee-VirusScan konnte ich insgesamt 5 Dateien (dll's usw.) auf verschiedenen Verzeichnissen, aber auch auf der Root ausfindig machen und löschen. Offenbar war eine html-Datei (sp.html) der Auslöser. Man konnte sie zwar löschen, hat sich aber immer wieder neu aufgebaut und für Unfrieden gesorgt.

Händischer Eingriff in die Registry brachte nichts!

Allerdings versuchte ich zusätzlich auch noch das Tool SpHjfix drüber laufen zu lassen. Es brachte mir u.a. den Hinweis, daß das System sauber ist, aber - wie zu diesem Tool beschrieben, startet der PC nicht von alleine (Win98 SE)

Vielleicht hilft dieser Erfahrungsbericht einem anderen User?!