Scanne mal im abgesicherten Modus mit eScan: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues HijackThis-Log.

Hi Bovese,

grundsätzlicher Tip: für ein neues Problem lieber einen neuen Thread eröffnen.

Dein System ist leider völlig verseucht mit allen möglichen denkbaren Schädlingen, es ist kompromittiert und du kannst ihm nicht mehr trauen, keine Software der Welt und keine Reparatur kann da wieder 100%ige Sicherheit geben. Meine ehrliche Empfehlung lautet daher:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten


Willst du trotzdem eine Reparatur versuchen (definitiv die schlechtere Lösung:


Hole dir E-Scan und update es wie hier beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Beende im Taskmanager diese Prozesse:

mfcgz.exe
mfcgz.exe
crtk.exe
bargains.exe
rbxdgi.exe


Dann fixe mit HJT diese Einträge:

C:\WINDOWS\mfcgz.exe
C:\WINDOWS\system32\crtk.exe
C:\Programme\BullsEye Network\bin\bargains.
C:\WINDOWS\System32\rbxdgi.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\twxak.dll/sp.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\twxak.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\twxak.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\twxak.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\twxak.dll/sp.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\twxak.dll/sp.html#12802
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\twxak.dll/sp.html#12802
R3 - Default URLSearchHook is missing
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {796F15CD-76E9-97B3-C7E0-1A180FA24EB5} - C:\WINDOWS\system32\sysnv32.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [irgogjadmxc] C:\WINDOWS\System32\rbxdgi.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMLIB_1035.dll,InstantAccess
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binari...dtc32_EN_XP.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {11111111-1111-1111-1111-113465819277} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.easywww.info/safe/payloadexe.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://www.htttp.biz/schweiz/webinstall.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...StatsClient.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/20...c/bridge-c5.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binari...035_pack_XP.cab
O16 - DPF: {F48EAB92-8BCE-4C77-BE98-D10060BD8590} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/downloader.ocx
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Ändere alle deine Passworte und versuche trotzdem, die oben genannten Empfehlungen umzusetzen. Gehst du über DSL ins Netz? Denn es sind da auch Dialer dabei, die du vorher evtl. sichern solltest, falls du nicht DSL hast.

Grundlagenlektüre:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Hey MountainKing,

vielen Dank für deine Hilfe. Diese lästige Startseite ist verschwunden nach dem Escan. Bei Gelegenheit werde ich dann alles formatieren!

See ya later mate and have a great time!

B.