Hi, zweiteres war der Fall. In userinit.exe stand der Verweis zu pxk_ als Debugger. Den Debugger-Eintrag hab ich jetzt gelöscht (vorher die Registry exportiert).

Mir fallen zwei Dinge auf. Erstens: In diesem Registrierungsverzeichnis (IFEO) tauchen opera.exe, safari.exe und chrome.exe auf. Alle mit Eintrag: Debugger C:\Programme\Internet Explorer\iexplorer.exe
Ich weiß ganz genau, dass ich keinerlei alternativen Browser angefasst habe. Im Zweitrechner gibts solche Einträge nicht.

Dafür werd ich hier gerade auch beim Zweitrechner schon ganz wuschig: Beim Öffnen der Registry im Zweitrechner zeigt mir diese genau HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options !!!!!!!
Als wär das das gängigste Verzeichnis in der Registry....das kann doch kein Zufall sein!?!

Zweitens: In beiden Registries ist in dem Schlüsselzweig noch ein Eintrag namens mngreg.exe; Unterschlüssel:
Standard (Wert nicht gesetzt)
und
ApplicationGoo mit nem langem Reg_Binary Wert.
Googelt man unter mngreg32.exe, kommen nur Treffer von Leuten mit verseuchten Systemen.

PS: hochfahren geht jetzt wieder normal.

Zitat:

Zitat von wechselbalg

Ich weiß ganz genau, dass ich keinerlei alternativen Browser angefasst habe. Im Zweitrechner gibts solche Einträge nicht.

Dann lösch die Schlüssel. Wahrscheinlich sollte mit diesen Einträgen sichergestellt werden, dass Du immer den IE startest, egal welchen Browser Du öffnest.

Zitat:

Als wär das das gängigste Verzeichnis in der Registry....das kann doch kein Zufall sein!?!

Da dürften schon "von Haus" aus einige Schlüssel drin stehen. Erst wenn im Schlüssel noch ein "Debugger" steht und der den Wert einer anderen Datei hat, dann wird quasi umgelenkt => Image File Execution Options

Zitat:

Googelt man unter mngreg32.exe, kommen nur Treffer von Leuten mit verseuchten Systemen.

Den Schlüssel hab ich aber auch drin.Scheint ne MS-Office-Geschichte zu sein...

Zitat:

PS: hochfahren geht jetzt wieder normal.

Sehr schön!
Biegt der Browser noch ab? Sicherheitsseiten noch blockiert?

Habe jetzt die Schlüssel aus der Registry entfernt, die den iexplore.exe als Debugger drin hatten (Chrome, Safari...), ferner die Registry nochmal nach "pxkuz" durchsucht (keine Treffer). Edit: das bringt wohl offenbar nix, "notep" als Suchwort bringt auch keine Treffer, obwohl ich weiß, dass es Schlüssel gibt, die das Wort notepad enthalten). Dann neu hochgefahren.

Aaaber: Den IE aufgemacht, in Google "fantastic" eingegeben. Zweiter Treffer ist irgendsone Filmwerbung von Kinowelt. Anklicken führt auf einem sauberen Rechner direkt zu Kinowelt, auf meinem Rechner zu h++p://bcczzoot.com/in.cgi&parameter=fantastic&ur=1&HTTP_REFERER=31201
und zwar als untere Seite in einem Frameset.

Malwarebytes startet das Update, das wird dann aber in der Hälfte abgebrochen. Malwarebytes wird ebenfalls nach ein paar Sekunden abgeschossen. Man kann genau auf Scan klicken, dann geht das Fenster zu.

Gruß, wechselbalg.

PS: Kann man die Registry dahingehend untersuchen, dass man alle Schlüssel aufgelistet bekommt, in denen ein Debugger vorkommt?