Startseite läßt sich nicht ändern - Auswertung hijackthis unklar

Hallo zusammen,
ich hab hier jetzt schon länger alles durchstöbert, aber komme trotzdem nicht weiter. Auf dem nagelneuen Laptop meiner Ma hat sich anscheinend was eingenistet. Betriebssystem XP. Sie hat per Fernanleitung (ich sitze 300km entfernt) geschafft ein hijackthis.log zu erzeugen. Auf der Seite von hijackthis habe ich eine Auswertung laufen lassen, bei der aber herauskam, daß eigentlich alles GUT ist. Das macht mich stutzig.... Könnte vielleicht einer von euch mal drüberschauen und uns Ladies etwas unter die Arme greifen? Wäre echt lieb!
Hier der hijackthis.log:
Logfile of HijackThis v1.99.1
Scan saved at 16:42:51, on 06.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\BRIGIT~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rotererg1.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Hey terrier

In deinem Log ist nicht zu entdecken!

#Versuch mal unter Start/Ausführen,ob folgende Befehle funktionieren cmd und regedit auch  Task-Manager  per Tastenkombi (Strg+Alt+Entf)?

#Desktopbild hintergrund lässt sich ändern?

Gruss
Mopao

Hallo Mopao,
hier die Ergebnisse:
. Desktophintergrund ändern funktioniert.
. Befehl cmd funktioniert.
. Bei regedit kam folgende Aussage: ?Das Bearbeiten wurde durch den Administrator deaktiviert.?

Hilft das weiter?

Hey

Kannst du immer noch die Startseite nicht ändern ?

Gruss
Mopao

Hallo Mopao,
yep - Startseite will einfach nicht umgeändert werden. Wenn ich leere Seite übernehme, kommt zwar keine Fehlermeldung, aber letztendlich steht dann wieder irgendwann www.rotererg1.de - aber die Seite gibt's nicht wirklich.... Wenn ich den Eintrag auf irgendeine andere Seite ändere, dann kommt Spybot Search & Destroy hat festgestellt, daß ein wichtiger Registrierungsdatenbankeneintrag geändert wurde + Alter Eintrag + Neuer Eintrag. Darunter dann Kästchen, deren Text nicht erkennbar ist, weil darüber steht Merke diesen Eintrag ...... Da läßt sich nix verschieben, nix mehr anklicken .... und geändert ist auch nix.

LG,
Terrier

@terrier

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Starte das HijackThis Scan klicken (Folgende Eintrag) Häckchen setzen & Button Fix checked klicken
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rotererg1.de/

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neue HijackThis Log & den Report des Ewido Scans, hier posten.

Gruss
Mopao

Wenn ich den Eintrag auf irgendeine andere Seite ändere, dann kommt Spybot Search & Destroy hat festgestellt, daß ein wichtiger Registrierungsdatenbankeneintrag geändert wurde + Alter Eintrag + Neuer Eintrag. Darunter dann Kästchen, deren Text nicht erkennbar ist, weil darüber steht Merke diesen Eintrag ...... Da läßt sich nix verschieben, nix mehr anklicken .... und geändert ist auch nix.

Zum Vergrößern anklicken....

Warum deaktivierst Du nicht beim Ändern den TeaTimer :-?

werden wir auch nochmal ausprobieren, danke!

Hintergrund (wen's interessiert):
Leider bin ich nicht vor Ort, d.h. beim Laptop. Das Teil steht 300km entfernt von mir, ich kann nicht direkt drauf zugreifen und regel das per Ferndiagnose und Fernanleitung ... der Typ (Computerfachmann- haha), hat zwar ne Stunde vor dem Rechner gesessen, ist dann aber achselzuckend abgedüst.

Nun versuch ich - mit eurer Hilfe meiner Ma so gut es geht zu helfen. Es geht hier auch nicht ums Prinzip - meiner Ma ist letztendlich egal, was da drin steht, aber die Suche nach dieser Seite, die es nicht gibt, legt jedesmal den Rechner lahm - bis alles wieder geschlossen ist .... Und das nervt und es verunsichert sie halt....

Mit anderen Worten, ich bin dankbar für jeden Tipp!

Hallo!
Hier die Ergebnisse zu den vorgeschlagenen Hilfsmaßnahmen:

@Mopao:
nach Ewido-Download und Check und erneuten Hijack-Check + div. Säuberungsaktionen scheint es gut auszuschauen  :1
- die Startseite ließ sich zumindest mal auf about:blank umswitchen.
Neues Hijackthis.log anbei. Ewido.log hat meine Ma leider nicht gespeichert gekriegt. Was meinst Du dazu?

Logfile of HijackThis v1.99.1
Scan saved at 16:27:35, on 07.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\DOKUME~1\BRIGIT~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

@gast:
Teatimer ließ sich nicht ausschalten. Habe per Fernanleitung nicht geschafft, das richtige Menü zu finden ... Ausschalten geht doch über SpyBot S&D - Einstellungen - keine Automatisierung, oder? Wie komme ich denn dahin?

Anyway, das Thema ist Startseite ändern ist für mich gelöst. Nächste Woche kommt meine Ma zu Besuch und dann knöpf ich mir den Laptop mal vor. Falls noch was ist, darf ich mich doch bestimmt nochmals melden, oder?

DANKE AN ALLE!