Home » Spyware & Browser Hijacker Support Forum » Immer wieder öffnet sich die Startseite "SmartSearch"....brauche Hilfe!! » Themenansicht

Immer wieder öffnet sich die Startseite "SmartSearch"....brauche Hilfe!!
#0
14.06.2004, 19:48
ShumY
...neu hier

Beiträge: 1
#1 Also, wie oben genannt öffnet sich immer wieder diese Seite als Startseite, und ich kann nix dagegen tun!

Hab schon vieles ausprobiert, wie CWShredder usw., hatte aber bißher noch keine Erfolge...

Gibt es hier irgendeinen Menschen, der mir helfen kann? Verzweifle nämlich langsam!

Eine bitte: Wenns geht eine detailierte Lösung schreiben, da meine Kenntnisse in Sachen PC's nich so gut sind...

mfG

ShumY
Seitenanfang Seitenende
14.06.2004, 20:18
sanremo
...neu hier

Beiträge: 3
#2 hallo!

ich habe seit zwei tagen das gleiche problem!

Konnte nicht erkennen dass ich irgendwie umgeleitet werde aber diese startseite stört doch ziemlich.

wenn ich den msn pop-up-blocker ausschalte öffnet sich der internet explorer tausend mal leer (keine seite gefunden oder so) hintereinander.

adaware und den shredder habe ich auch schon ausprobiert. norton system works findet auch nichts!

vielleicht könnt ihr helfen?!

mfG

Benedict

Logfile of HijackThis v1.97.7
Scan saved at 19:59:35, on 14.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\hawker1\LOKALE~1\Temp\Rar$EX00.146\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ccApp.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09f33e2fc31a84052220/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37943.5809837963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
Seitenanfang Seitenende
16.06.2004, 02:13
meikel-k
...neu hier

Beiträge: 10
#3 hi,

lest mal meinen Thread, hatte gleiches Probl.

Gruss
micha
(meikel-k)

http://board.protecus.de/t10578.htm
Seitenanfang Seitenende
16.06.2004, 18:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @sanremo

fixe mit dem HijackThis
O1 - Hosts: 213.159.117.235 auto.search.msn.com


neustarten

1. gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.

3. Lade XP/Clean 5.5.
http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm
und saeubere die Host/Datei, es sollte nur 127.0.0.1
drinstehen

oder
Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen

4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein.

5. Lade AdAware free und scanne
http://www.lavasoft.de/

6. Lade SpyHunter und scanne
http://www.spy-bot.net/manual.asp


Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 19:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.06.2004, 19:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 @Shumy

Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
So wird dir geholfen...
http://board.protecus.de/t9391.htm
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.06.2004, 00:26
sanremo
...neu hier

Beiträge: 3
#6 Hallo Sabina!

Vielen Dank für Deine Antwort!!!

Diese CLSID in der Registry kann ich nicht finden. Muss man die haben?

msxword.dll habe ich gelöscht.

in ETC\Hosts steht noch localhost hinter den Ziffern. Weg damit?

Danach habe ich nicht neu gestartet und Spy-bot hat nix gefunden, ad-aware hat aber folgendes gefunden (jetzt in Quarantäne):

Hersteller:possible Browser Hijack attempt
Kategorie;)ata Miner
Objekt Typ:Reg.Daten
Grösse:-
Ort:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")
War geladen:16.06.2004
Gefährdung:Mittel
Kommentar:Möglicher Browser-Hijack Versuch
Beschreibung:possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.

findet er jetzt aber auch nicht mehr.

Die Startseite ist jetzt weg. Also Alles gut? Oder gibts noch was zu tun?

Vielen Dank

Benedict



Hier das neue Log:

Logfile of HijackThis v1.97.7
Scan saved at 00:18:03, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\hawker1\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ccApp.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
Seitenanfang Seitenende
17.06.2004, 09:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Stelle mal bitte eine Startseite unter InternetOptionen ein und poste das Log noch einmal.
Lokalhost 127.0.0.1 ist o.k.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.06.2004 um 10:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.06.2004, 19:23
sanremo
...neu hier

Beiträge: 3
#8 Hallo Sabina!

Eingestellt ist jetzt die Standardseite von IE.

Grüsse

Benedict

Logfile of HijackThis v1.97.7
Scan saved at 19:23:47, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\hawker1\LOKALE~1\Temp\Rar$EX00.980\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ccApp.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47795361-0567-402A-9AF0-191B9A258094}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{47795361-0567-402A-9AF0-191B9A258094}: NameServer = 217.237.151.225 194.25.2.129
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
Seitenanfang Seitenende
18.06.2004, 11:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 @sanremo
Es ist alles in Ordnung, falls es die Startseite ist, die du wuenscht....kannst natuerlich auch eine andere einstellen.

Lade nun den Firefox als Zweit/und SurfBrowser...stelle auch eine Startseite ein und surfe nur mit ihm...ist hijackerfrei
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2004, 16:08
NormBot
...neu hier

Beiträge: 1
#10 Hallo erstmal bin neu und erleide das gleiche Problem, naja bin ein rechter Haudegen und hab das Pferd mal von hinten aufgezäumt.
Hab in nem anderen Tread von der Datei "msxword.dll" gelesen und diese mal gezielt in dem Verzeichnis gesucht Windows/system32

die Datei zu löschen war unter WINDOOF (Windos) nicht möglich, daher hab ich folgendes gemacht !!!
IE Beenden

Start
Ausführen
CMD eingeben und Enter Drücken (Eingabeaufforderung)
dort ins Verzeichnis C:\Windows\system32 wechseln
dann mit
del msxword.dll
löschen

danach hatte ich die Startseite weg allerdings kommt das die Seite nicht angezeigt werden kann (BLANK) aber ich kann meine eigene wieder eingeben und die Speichert er auch wieder

Grüße Normi
Dieser Beitrag wurde am 24.06.2004 um 20:46 Uhr von NormBot editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1