Startseite verändert - http://ssearch.biz entfernen

#1 Hallo,
seit gestern lässt sich meine Startseite nicht mehr starten. Wenn ich den IE öffne, erscheint immer diese Seite: http://ssearch.biz/?wmid=1010. In den Internetoptionen ist google als Startseite festgelegt. Das verändert sich auch nicht. Wenn ich dann, nachdem sich diese Suchseite geöffnet hat, den Button für die Startseite drücke, erscheint dann auch google. Gleichzeitig funktionieren die Button "Zurück" und "Vorwärts" nicht mehr. Habe schon den CWShredder laufen lassen. Der hat aber nichts gefunden. HijackThis habe ich auch schon mehrfach scannen lassen. Habe aber in der .log nichts Verdächtiges finden können. Vielleicht sollte ich die .log mal posten, damit einer von euch mal nachschauen kann. Vielleicht habt ihr auch noch andere Tipps, die mir helfen können.

Danke

#2 Hallo,

Wenn euer Internetexplorer beim starten immer auf die Seite
hxxp://ssearch.biz/?wmid=1010 umgeleitet wird, hat euch wohl der Trojaner

Trojan.Errhijack (Symantec Name)
http://securityresponse.symantec.com/avcenter/venc/data/trojan.errhijack.html

Dieser Trojaner ändert 5 Registry Einräge in
HKeyLocalMachine\Software\Microsoft\Internet Explorer\AboutURLs
namens
NavigationFailure,NavigationCanceled,OfflineInformation,blank,PostNotCached

indem ihr diese Datei: reset_startpage.reg herunterladet und einmal ausführt (Doppelclick) werden hier wieder die Standardeinstellungen vorgenommen.

ansonsten bitte einfach einen HijackthisLog hier posten

// dieser Beitrag wurde von einem Moderator editiert
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Hier die .log:

Logfile of HijackThis v1.98.0
Scan saved at 00:50:37, on 19.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\essspk.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\StarOffice6.0\program\soffice.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
D:\Programme\RealVNC\WinVNC\WinVNC.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\enrico\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinVNC] "D:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [AVPCC] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: StarOffice 6.0.lnk = D:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

#4 Hmmm,... da ist wirklich nichts Verdächtiges zu entdecken ...

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,
und
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE

würde ich evtl. fixen...
Hat sonst jemand eine Idee ?

#5 Ich sehe keine Auffäligkeiten in deinem Log.

Lade dir hier die mwav.exe(eScan) runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.
Danach in den abgesicherten Modus wechseln und mit mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) scannen.
-Neustart
-Neues Log-File + Endlog von eScan posten
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#6 @ Murphy

FO und F2 brauchst du nicht fixen, nur wenn nach dem Komma ein weiterer Eintrag folgen würde. Wird bei dieser Version v1.98.0 von HiJackThis immer angezeigt.

O4 kannst du fixen weil überflüssig.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#7 Also, ich habe mir die mwav.exe runtergeladen. Allerdings habe ich sie nicht auf C:\ sondern auf D:\ installiert, weil sich auf diesem Laufwerk alle wichtigen Dateien befinden. Ich wusste nicht, wo ich die kavupd.exe herbekommen sollte. Also habe ich ohne diese Datei gescannt. Auch weiß ich nicht, wie ich den Scanner mit der mwavscan.com starten soll. Ich habe im abgesicherten Modus gestartet, dann das Prog aufgerufen und alle Häkchen gesetzt. Es wurden insgesamt 7 Viren gefunden, von denen aber nur 2 gelöscht wurden. Diese 2 befanden sich auch noch auf Laufwerk C:\. Die anderen 5 befinden sich alle auf D:\ und wurden nicht gelöscht. Ich habe zwar die mwav.log gespeichert, aber wenn ich die hier posten würde, müsste man sich durch 19425 Dateien wühlen. Aus dem Bericht geht auch nicht hervor, was nun ein Virus war. Das stand doch nur unter dem Fenster des Progs bei den "Virus Log Information". Ich habe versucht, diese zu kopieren. Ging aber nicht. Jedenfalls besteht das Problem immer noch und es sind noch einige dazu gekommen. Hätte mich auch gewundert, wenn die beiden Dateien auf C:\ dafür verantwortlich gewesen wären. Denn schließlich läuft das BS einschließlich des IE auf D:\. Naja, eine andere Sache. Ich wollte vorhin mit der Suchfunktion von Windows etwas suchen. Ich öffnete also das Prog. Aufeinmal stand oben in der Adressleiste des Suchprogramms folgender Pfad: res://D:\WINDOWS\System32\shdoclc.dll/navcancl.htm. Gleich daraufhin stand in derselben Leiste der URL der erwähnten Suchseite. Dann kam die Meldung, dass die Seite nicht angezeigt werden kann. Normal, ich hatte auch keine Verbindung zum Internet aktiviert. Bloß seit wann fungiert das Suchprog als Browser, wenn man nur nach lokalen Dateien und Ordnern suchen will? Weiterhin funktioniert das Suchprog jetzt auch nicht mehr. Ruft man es auf, passiert das, was ich eben geschildert habe. Dann kann ich zwar nach Dateien und Ordnern suchen lassen, aber es erscheinen keine Ergebnisse. Ebenso fehlt dieser grüne Statusbalken, der sonst da ist. Will ich dann das Prog beenden, funktioniert dies nicht. Der Rechner hat sich aufgehängt und ich muss neu starten. Was kann ich machen???

#8 @ Murphy

Zitat

Aufeinmal stand oben in der Adressleiste des Suchprogramms folgender Pfad: res://D:\WINDOWS\System32\shdoclc.dll/navcancl.htm. Gleich daraufhin stand in derselben Leiste der URL der erwähnten Suchseite. Dann kam die Meldung, dass die Seite nicht angezeigt werden kann. Normal, ich hatte auch keine Verbindung zum Internet aktiviert. Bloß seit wann fungiert das Suchprog als Browser, wenn man nur nach lokalen Dateien und Ordnern suchen will?

Das ist doch klar wenn du versucht ein HTML-Dokument zu öffnen. Wenn du diese Datei suchen willst mußt du dieses eingeben:
D:\WINDOWS\System32\shdoclc.dll

Gerade diese Virus Log Information wäre wichtig gewesen, für die weitere Vorgehensweise!

Ist dein eigentliches Problem denn jetzt gelöst, oder nicht?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#9 Ich habe ja garnicht versucht, eine HTML-Seite zu öffnen. Ich habe lediglich das Suchprogramm von Windows geöffnet. Das war auch schon alles. Dann passierte das Geschilderte. Das ist nicht normal! Normalerweise erscheint nach Öffnen des Progs ein leeres weißes Fenster, in dem dann später die gesuchten Sachen erscheinen. Aber ich habe ja garnichts eingegeben. Das mit den Virus Log Information habe ich ja auch schon erklärt. Ich müsste sie dann abschreiben, weil sie sich nicht kopieren lassen. Das Problem besteht nach wie vor.

#10 @ Murphy
Dann hab ich dich bezüglich des Suchens missverstanden.

Zitat

Ich müsste sie dann abschreiben, weil sie sich nicht kopieren lassen.

Sorry, no comment!

Probier mal folgende Tool´s im abgesicherten Modus aus:
http://www.lavasoft.de/support/download -> Ad-Aware
http://spybot.safer-networking.de/index.php?lang=de&page=download ->Spybot Search & Destroy

Danach neues Log-File posten.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#11 So, habe alles getan. Allerdings hatte ich das gestern auch schon gemacht. Brauche auch nichts posten, weil ich die Einträge gelöscht habe. Alles beim Alten. Ich verzweifel noch. Es muss was mit dem Windows-Pfad zu tun haben. Der wird nämlich zuerst in der Statusleiste angezeigt, wenn ich den IE starte und daraufhin diese bekloppte Suchseite erscheint. Außerdem hängt sich der PC jetzt auch immer auf, wenn ich das Suchprogramm öffne.

#12 res://D:\WINDOWS\System32\shdoclc.dll/navcancl.htm.
Information von Symantec http://securityresponse.symantec.com/avcenter/venc/data/trojan.errhijack.html
__________
MfG Argus

#13 @Arnold
Entlich hat jemand was gefunden!
Dieses Problem ist schon bei ein paar Leuten aufgetaucht.

Das einzige Problem dürfte sein ob die Standardäge für die "AboutURLs" Einträge für alle Betriebsystem gleich sind.
Registry<Pfad>
HKLM\Software\Microsoft\Internet Explorer\AboutURLs

Symantec nennt diese:
"NavigationFailure" = "res://shdoclc.dll/navcancl.htm"
"NavigationCanceled" = "res://shdoclc.dll/navcancl.htm"
"OfflineInformation" = "res://shdoclc.dll/offcancl.htm"
"blank" = "res://mshtml.dll/blank.htm"
"PostNotCached" = "res://mshtml.dll/repost.htm"

Habe mal meine Exportiert (Win2000, SP4, alle updates)
Mein Rechner ist Clean
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"

@all
Postet mal bitte eure Einträge, vorallem für XP und Win98
Vielleicht sind doch Unterschiede da!

@die mit Problemen
Einfach start/ausführen/Regedit
navigiere zu HKLM\Software\Microsoft\Internet Explorer\AboutURLs
Stelle die Einträge auf die hier angegebenen Standartwerte zurück

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#14 @Arnold

Danke dir für den Tipp. Leider hat Norton nichts gefunden. Meine Registry-Einträge sehen auch alle so aus, wie es sein sollte. Scheint so, als würde ich den Mist nicht mehr loswerden .

#15 Ich benutze nur Antivir http://www.free-av.de/ das Beste was es zur zeit gibt
setze die Heuristik auf hoch und scanne alle deine Dateien
Und seh mal nach ob da etwas unter Software steht was du nicht erkennst
Und wenn du wass findest entferne es im sicherem Modus

p.s.Mein Deutch könnte besser sein,aber ich rede und lese ja jeden Tag Holländisch
__________
MfG Argus