Highjackthis file wegen Spamware

Lies bitte hier nach:

http://www.computerhilfen.de/hilfen-17-30578-0.html

unten bei Spezialfällen mit dem sp.html Problem...

Hallo,leider kann ich damit nichts anfangen.Die geschriebene DLL von APM ist nicht vorhanden(die die in Highjackthis als No Noame markiert ist).Und bei 2 Versuch ist bei mir kein"&"im laufenden Prozess vorhanden.Und nu?

Neues LOG posten, am besten mit Hijackthis 1.98

Gruß

Hallo,also anbei sende ich die Logfile.Leider bekomme ich bei scan zug Fehlermeldungen und weiss deshalb niicht ob die Datei komplett ist.Ich hab mich gestern nochmal dran gesetzt und gesucht und gesucht.Dabei ist mir eine Datei besonders aufgefallen.Bei dem Bericht"Spezielle Highjacker Fälle" gibts ja eine Rubrik wo man das APM benutzen sollte,Explorer oben aufrufen und unten die No Name datei(BHo (no Name ....DLL)suchen.Das Problem war,das die Datei in Highjackthis No Name......dciig.dll hies und bei APM einfach nicht vorhanden war.Diese Datei kam mir dann dennoch verdächtig vor.Also versuchte ich sie zu löschen ging nicht.Dann hab ich sie einfach umbenannt(einfach einen buchstaben hinzugefügt).Zwar wurde teilweise noch die Startseite geändert,aber die Seite blieb leer und die POP UP Fenster bleiben aus.Leider sind die Ganzen EInträge bei Highjackthis oben....Temp etc teilw immer wieder vorhanden.Jetzt hab ich eigentlich wirklich die Schnauze voll gehabt und hab den Mozilla Firefox installiert und muss sagen ich werde wohl nicht mehr wechseln.Dennoch hätte ich meinen Rechner gern wieder "Sauber".
MFG Mark
Logfile of HijackThis v1.98.0
Scan saved at 10:37:24, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\download\fritz\Awatch.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Download\Clone cd\CloneCD\CloneCDTray.exe
D:\Download\Downloads Internet\Antivirusprogramm\AVGNT.EXE
D:\Download\Downloads Internet\Winamp\winampa.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
D:\Trojancheck 6\tcguard.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\download\pstrip.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Download\MemOptimizer.exe
D:\Download\FonTipp.exe
D:\Download\Downloads Internet\a2\a2guard.exe
C:\Programme\GetRight\getright.exe
D:\Drucker\AiO\hp psc 700 series\Bin\hpobrt07.exe
D:\Download\Fritz\IWatch.exe
D:\Download\CalCheck.exe
D:\Download\ZoneAlarm\zapro.exe
C:\Programme\GetRight\getright.exe
D:\Drucker\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\alg.exe
D:\Download\Downloads Internet\Antivirusprogramm\AVGUARD.EXE
D:\Download\Downloads Internet\Antivirusprogramm\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
D:\Download\Fritz\FritzDsl.exe
D:\Download\Downloads Internet\hijackthis198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Download\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AWatch] d:\download\fritz\Awatch.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Download\Clone cd\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Download\Clone cd\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] D:\Download\Downloads Internet\Antivirusprogramm\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] D:\Download\Downloads Internet\Winamp\winampa.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [FonTipp] D:\Download\start.exe min
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] d:\download\ChkFont.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PowerStrip] d:\download\pstrip.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Download\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [a²] "D:\Download\Downloads Internet\a2\a2guard.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = D:\Drucker\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: ISDNWatch.lnk = D:\Download\Fritz\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = D:\Download\CalCheck.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Download\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Download\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download All by FlashGet - D:\Download\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Download\FlashGet\jc_link.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Download\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: concept/design's onlineTV - {BCEAE763-AD37-45D0-9044-E673A74CDF46} - D:\Download\onlineTV\onlineTV.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Download\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Download\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E954EA86-9485-4C90-A99A-4B40E1A5A1A0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE42B87-82EC-4CCF-BAB6-4DC578CBE5F3}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {DFFC0E80-976E-4517-879D-ECD97B063C0C} - C:\WINDOWS\System32\dciig.dll
O18 - Filter: text/plain - {DFFC0E80-976E-4517-879D-ECD97B063C0C} - C:\WINDOWS\System32\dciig.dll

Was für Fehler sind das die du da bekommst. Und hast du auch im abgesicherten Modus gescannt?

Musste schauen oft gibts auch 2 x Explorer.exe bei APM dann musste beide durchschauen, eventuell wird sie auch nur im Prozess des iexplore.exe angezeigt.

Und schliess mal alle Programme(auch die unter/neben der  Uhr bevor du Hijackthis scannen lässt, sonst sucht man sich dämlich was ein schädling sein könnte oder nicht.

Gruß

Hallo,also der Fall wird irgendwie immer Mysteriöser.Die Datei .......dciig die unten im Logfile noch drin stand ist nun verschwunden.Ich habe teilweise highjackthis öfters suchen lassen,und einmal stand dort,weiss aber nicht mehr in welchem bezug,file not found.......dciig.dll
Gut ich habe die Datei ja umbenannt,dennoch habe ich um den Kern der Sache zu beheben die Datei wieder in die Ursprüngliche bezeichnung gebracht.Aber bei keinem Scan taucht sie mehr auf.Werd mal nen neustart durchführen und mal schauen.Der Tipp das die Datei beim Programm nur unter IE Explorer.exe zu finden ist ist bestimmt gut,nur muss ich halt warten bis die datei wieder auftaucht.Die Fehler die Highjackthis 1.98 schreibt sind wohl selbst vom Program(ungültiger Prozessablauf oder so.
Werd mal weiter suchen.Nur komisch das man sie schützt(alle MS Updates,Firewall,CWS Shredder,Antivieren Programm,AD-Ware etc etc)dennoch handelt man sich solch einen Schrott ein.Mir drängt sich einfach der Gedanke auf,das der Internet Explorer einfach schlecht ist,oder zumindest viele Lücken hat.Wie schon geschrieben benutze ich nun den Mozilla Firefox 0.91 und muss sagen das dieser im Seitenaufbau sowie bei Konfigurieren dem IE Explorer DEUTLICHJ überlegen ist.Und wie oft gelesen,stellt dieser(im moment)keine allzu grosse Gefahr für Highjacker,Spammware etc dar.Hoffe dennoch ich bekomm mein System wieder Sauber.
DANKE!
Gruss

Hallo,

ich hab auch einen Highjacker an Board.
( "Search homenet")
Habe bereits Spybot, Adaware, Shredder und Norton versuchen lassen.
Jetzt hab ich mal mit Highjackthis gescannt und folgende Logdatei erhalten.
Es wäre echt supernett, wenn mit jemand sagen kann, welche ich denn nun fixen muß.

Großen Dank im voraus!

Logdatei folgt wie gewünscht in der nächsten Antwort....

Flip

Logfile of HijackThis v1.97.7
Scan saved at 12:13:15, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ipfe.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\d3tc32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Rosa Erdmann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eojid.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://eojid.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://eojid.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eojid.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://eojid.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eojid.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.openbc.com/go/inbox/obc_de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {121A0A67-23E2-D6D6-BFBF-1D26532FDEE8} - C:\WINDOWS\system32\javaki.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 724PC DSL\routcnf.exe
O4 - HKLM\..\Run: [atlve.exe] C:\WINDOWS\system32\atlve.exe
O4 - HKLM\..\Run: [ntob.exe] C:\WINDOWS\system32\ntob.exe
O4 - HKLM\..\Run: [d3tc32.exe] C:\WINDOWS\system32\d3tc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: EmailImport - http://www.openbc.com/importtool/openBC.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{764A30D2-DAF7-42B0-A60D-E54010742EBF}: NameServer = 62.225.252.16,194.25.2.129

Kopiere Deine Logfile einfach in das Fenster
unter www.hijackthis.de und drücke auf auswerten.

Das müßte eigentlich Deine Frage beantworten.

Hi,
werte doch hier deine Logdatei aus :
http://www.hijackthis.de/index.php
Alles was rot ist, solltest du löschen.
Die mit dem gelben Fragezeichen gekennzeichnete Einträge würde ich auch entfernen. Also wenn du das, was drin steht, nicht kennst oder keinem Programm zuordnen kannst.

Aber zuerst prüf mal ipfe.exe und d3tc32.exe hier:
http://www.kaspersky.com/de/scanforvirus
und sag Bescheid, wenn was gefunden wird oder auch nicht.
Im Falle wenn nichts gefunden wird und du die Programme nicht kennst, dann vorerst die beiden nicht löschen, sondern in ein anderes Verzeichnis verschieben und eine weile testen, ob alle Programme ordnungsgemäß funktionieren.

Hallo DxxxD und Bali.Batinga,

Wow.... suuper! Werde ich nacher gleich mal ausprbiern.
Das ist seit meinem letzten Highjackass vor ca 2 Jahren ja richtig komfortabel geworden.

Tausend Dank, dass Ihr Euch die Zeit genommen habt!!!
Ich freu mich schon jetzt drauf, anderen auch damit helfen zu können.

Mit Leuten wie Euchist das I-Net halt doch noch nicht ganz verloren :-)

Werde auch eine , hoffentlich, Erfolgsmeldung hier reinsetzen.

Bis denne.....

So, habe den file auswerten lassen. Superseite!
Leider verschwindet der hijacker nur sehr kurze Zeit,-bis zum nächsten Browserstart.
Hatte adaware, spybot, CWShredder, HS und noch son proggie vorher im abgesicherten modus laufen lassen.

Jetzt habe ich noch weitere Tips im Hijackthis.de/forum

http://www.hijackthis.de/forum/index.php?showtopic=7

bekommen, die ich aber erst am Di ausprobieren kann bevor ich mich dann vielleicht doch entschließen muß, die Mühle neu aufzubauen.

Tach auch.......

Hab da folgendes. Nach jedem Rechnerstart hab ich immerwieder folgende einträge von neuen, obwohl sie von Highjackthis jedesmal gelöscht werden.

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rootsearch.biz/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rootsearch.biz/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html

Folglich glaube ich das es irgendwo eine sich selbstentpackende Datei gibt, die sich bei jedem Rechnerstart von selbst aktiviert.

Weiß jemand welche das sind ????
Highjack kennt diese Grunddateien nicht.

Gruß

Emumaniac