Einstellung im IE

Zur Zeit hab ich das Problem, dass jedes Mal wenn ich mich in WIN XP anmelde teilweise meine Internet Explorer Einstellung weg sind. Bspw. die Eintellung der Symbolleiste, dann ist die Link-Leiste immer deaktiviert und das Suchen-Fenster am linken Rand erscheint immer wieder neu mit irgendeiner unbekannten Sucheengine, obwohl ich diese Einstellung dauernd ändere.
Das Problem hab ich erst seit ein paar Tagen...Wie kann ich des wieder ändern, das jedesmal die Einstellungen geladen sind...?

 

Ja, ich bedanke mich dann mal...
Es war wirklich der Trojaner. Ich hab die sys.reg gelöscht und nun behält der IE seine Einstellungen wieder.
Aber eine Frage noch: Laut der einen Virenbeschreibung gibts da ne .com datei die die sys.reg erstellt. Ist die auch noch auf meiner Festplatte?
Ich muss noch erwähnen, das Antivir PE (aktualisiert) diesen Virus nach mehrmaligen Durchforsten nicht erkannt hat. Womöglich spezialisieren die sich nur auf "harte" Viren *g*.
Dank an alle Poster...

 

@ Wolfgang77
Kuckst du HIER.

 

@Der_Shogun

Status gesperrt... was hast du angestellt ??

 

C:\WINDOWS\System32\Ati2evxx.exe

C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -s c:\sys.reg

(Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB

sieht alles sehr verdächtig aus

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe

und bei dem bin ich unschlüssig, was ein FTP-programm mit einer background-installation zu tun hat?! ist auch verdächtig.

 

Das ist doch auch sehr verdächtig:

O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -s c:\sys.reg

bei jedem Start wird da ein Eintrag in die Registry vorgenommen. Lade die "sys.reg" einmal in einen Texteditor und schau dir an was da eingetragen wird.

Scheint der Trojaner "Troj/Seeker-F" Alias:
VBS_INOR.K, TrojanDropper.VBS.Inor.o, VBS/Godog.G, TROJ_SEEKER.B zu seien.

Der ist aber seit Januar 2004 bekannt und sollte von deinem Virenscanner erkannt werden:

Laut Sophos:
Der Trojaner wird als COM-Datei (was eine EXE ist) mit einem temporären Dateinamen von einer Skriptdatei, die ein eingebettetes VBScript enthält, abgelegt und ausgeführt.

http://www.sophos.de/virusinfo/analyses/trojseekerf.html


Grüße
Wolfgang

 

schon mal zu 7adpower:

http://derstandard.at/?id=1499215

Zitat:

Download und Einwahl erfolgt über ActiveX und bleibt daher vom User unbemerkt. Nach 30 bis 40 Minuten erfolgt eine automatische Trennung. Die Kosten für das neue Lebkuchen-Rezept per Satellit betragen danach etwa 89 Euro.

Mahlzeit !

 

Ich würd sagen alles was mit R1 und R0 beginnt sowie diese zwei Einträge:
O16 - DPF: {4AE9E3BF-409D-4F61-9804-920968603919} (Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe

Um sicher zu gehn könntest du vorher en Thread im Virenforum aufmachen und dort das log posten und dein Problem beschreiben. Dort sitzen die Experten für sowas.

 

HIJACK.log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Dokumente und Einstellungen\Cylet\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 246***
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -s c:\sys.reg
O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {4AE9E3BF-409D-4F61-9804-920968603919} (Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D1B3280-4C32-44BE-BEBE-FD2083BF47B3}: NameServer = 192.168.122.252,192.168.122.253

Was könnte ich denn davon jetzt löschen?

 

Könnte Spyware oder en Hijacker sein.

Scann dein System mit nem Virenscanner und Spybot S&D.

Und poste mal das Scanergebnis von HijackThis.