Hijacker?
 

Nachdem ich kürzlich aus einem schönen Urlaub zurückkam, gingen die Probleme gleich los:
Mozilla reagierte auf viele Seiten nicht mehr ("Nachschlagen von xyz" => "xyz konnte nicht gefunden werden. Bitte überprüfen sie den Namen und wiederholen sie es später nocheinmal"). Das es an mir liegt ist klar, bei anderen Leuten funktionierten die Seiten zum entsprechenden Zeitpunkt.
Zu erwähnen vielleicht noch, dass einige Seiten temporär funktionierten und temporär aussetzten, andere immer funktionieren und wieder andere nie.

Das war alles unter Windows XP Professionel mit der neuesten Mozialla-Firefox-Version. Ich hab es dann noch unter Windows mit dem Internet-Explorer und dem alten Mozille versucht, beides ohne erfolg.
Als nächstes habe ich es auf Linux versucht, einmal mit Mozilla und dann mit dem Standart-Browser (kA wie der heißt), selbe symptome.

Nach zahlreichen Versuchen hab ich es dann bis in dieses Forum geschafft, ein bisschen rumgelesen und diese Anleitung befolgt:
Anleitung: HiJackThis.

Das Logfile, was dabei herauskam:
Ich bin kein Fachman in solchen Dingen, darum wollt ich lieber hier rumfragen bevor ich alles kaputtmache.

Hallo Ufo also ich habe mir mal deinen Hijackthis Log angeschauen und das ergebnis ist :

Böse Sachen:

C:\PROGRA~1\ezula\mmod.exe
C:\PROGRA~1\Web Offer\wo.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
Eventuell Böse:
Also wenn sie ihn nicht kennen fixen sie ihn !
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-kreuzzuege.de/

Unötige Sachen :
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: MySQL41 - Unknown owner - C:\mysqld.exe (file missing

Und
In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe: (1.) Sie benutzen die Windows XP eigene Firewall. (2.) Sie benutzen eine Firewall, die uns nicht bekannt ist. (3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder (4.) sie verwenden keine Firewall.
Wir empfehlen Ihnen das Benutzen einer Firewall. Laden Sie sich ggf. eine herunter oder verwenden Sie die Windows XP eigene.

Also alle einträge oben fixen wenn sie sie nicht kennen !
MFG.Vulcanraven :kloppen:

Ersteinmal eine großes Dankeschön, dass du mir hilft :)

Bis hierhin hat alles super funktioniert :)

Bei einem dieser fünf kam folgende Meldung:
LSPFix zu nutzen ist mir gerade nicht möglich, da es eine der Seiten ist, die nicht geladen werden.
Spybot S&D habe ich gerade installiert :)

Kenn ich, darf bleiben ;)

Auch alle problemlos gelöscht :)

Laut dem Sicherheitscenter ist die Windowseigene-Firewall aktiv o_O

Nunja, das aktuelle Logfile sieht nun so aus:
Gibt es vielleicht sonst noch irgendwelche programme, die ich inshaben sollte bzw. noch andere Möglichkeiten, um die ganzen Dinger loszuwerden?

Hallo,
also spybot sollte mit dem new.net problem fertig werden, du kannst aber auch mal schauen ob du nicht einfach unter Systemsteuerung>>Software deinstallieren kannst(Spybot aber trotzdem durchlaufen lassen)
Beende mal folgenden Prozess:
C:\WINDOWS\system32\alrsvc27.exe
und überprüfe die dazugehörige Datei hier
und poste das Ergebnis hier her.


Grüße Wildone

Datei löschen?

Hallo,
gehe in den abgesicherten Modus(F8 beim booten), schalte die Systemwiederherstellung aus( im explorer rechtsklick auf Arbeitsplatz>>Erweitert>>Systemwiederherstellung, dort Haken bei "systemwiederherstellung deaktivieren reinmachen.
Dann folgende Dateien löschen:
C:\WINDOWS\system32\alrsvc27.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\Searchx.htm
Dann mit Hijackthis folgende Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
O4 - HKLM\..\Run: [fc79011b13db] C:\WINDOWS\system32\alrsvc27.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

Dann wieder im normalen Modus erneut ein Logfile erstellen und posten.
Nicht vergessen die Systemwiederherstellung wieder zu aktivieren.

Grüße Wildone

Dank auch an dich :)

Hier ist das LogFile:

Hallo,
sieht gut aus, noch als kleiner zusätzlicher Tipp, du solltest ergänzend zu Spybot auch mit Ad-Aware dein System ab und zu mal scannen. Und ansonsten halt immer dein System auf dem neusten Stand halten(gestern kamen wieder Updates von MS raus).


Grüße Wildone

Ad-Aware ist installiert, WIndows upgedatet :)
Dank euch allen.

Mein Browser funzt zwar immer noch nicht so richtig, aber das bekomm ich auch noch irgendwie in den Griff. Viren weg ist Viren weg :)