Startseite wird automatisch geändert: nämlich http://www.msn.de/Default.

#0
11.07.2004, 19:11
...neu hier

Beiträge: 5
#1 hallo
ich bitte um Eure Hilfe. Jedesmal, wenn der IE neu gestartet wird, öffnet sich die msn-Startseite. Egal was vorher eingestellt war.

Bei mir läuft AdAware, S&D und CWShredder.

Ich poste gleich mal mein Logfile.

Bitte dringend um Hilfe - komme alleine einfach nicht mehr weiter!
Viele lieben Dank schon im Voraus,

lg Andi



Logfile of HijackThis v1.98.0
Scan saved at 19:09:31, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\install\system tools - treiber - plugins\regestry protect\regprot.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
D:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\programme\Fritz!DSL\Awatch.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\washer\washer.exe
D:\Programme\Steganos Security Suite 5\spm.exe
D:\Programme\Steganos Security Suite 5\steganos5.exe
D:\Programme\Steganos Internet Anonym 5\sia5.exe
D:\Programme\NoAds\NoAds.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\PROGRA~1\NORTON~2\NORTON~1\GHOSTS~2.EXE
D:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\RB-Geburtstage\RBGebtag.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\total Commander\TOTALCMD.EXE
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\SLEE401.exe
D:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system32\fxssvc.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
D:\Programme\Steganos Internet Anonym 5\sseagent.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Messenger\msmsgs.exe
E:\Install\Internet Tools\IE Startseite verändert sich selbst\Hijack This\V 1.98\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://news.google.com/news/de/de/main.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.com/news/de/de/main.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://news.google.com/news/de/de/main.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://news.google.com/news/de/de/main.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WWW Andreas Fleidl
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - D:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RegProt] e:\install\system tools - treiber - plugins\regestry protect\regprot.exe /start
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] D:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AWatch] d:\programme\Fritz!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [Washer] D:\Programme\washer\washer.exe /0
O4 - HKCU\..\Run: [SSS5SPM] "D:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SSS5] "D:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SIA5] "D:\Programme\Steganos Internet Anonym 5\sia5.exe" /booting
O4 - HKCU\..\Run: [NoAds] "D:\Programme\NoAds\NoAds.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServicesOnce: [washindex] D:\Programme\washer\washidx.exe
O4 - Startup: Internet Explorer Browser starten.lnk = C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - Startup: RB-Geburtstage.lnk = C:\Programme\RB-Geburtstage\RBGebtag.exe
O4 - Startup: Total Commander 32.lnk = D:\Programme\total Commander\TOTALCMD.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = ?
O4 - Global Startup: PGPtray.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Dictionary - http://www.ezreference.com/_/ie-com-p3.htm
O8 - Extra context menu item: &Encyclopedia - http://www.ezreference.com/_/ie-com-e-p3.htm
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: LEO Dictionary - C:\WINDOWS\Web\DE_EN.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.gmx.de
O15 - Trusted Zone: http://service.gmx.net
O15 - Trusted Zone: http://news.google.de
O15 - Trusted Zone: http://*.windowsmedia.com
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CDD5478-EBBF-443B-9DA8-F2281D08FDC7}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8988AFEA-640A-4B15-A36B-277AEC0C864B}: NameServer = 217.237.151.97 194.25.2.129
Seitenanfang Seitenende
12.07.2004, 09:39
Member

Beiträge: 1095
#2 @Andi_at_Home

Das kommt daher das du mit Ad-Aware immer die Satrtseite zurücksetzt.
Dann wird automatisch immer die msn-Seite genommen.

EInfach Startseite ienstellen und bei AdAware nicht einfach alles was angezeigtwird einfach löschen lassen. Erst mal schauen was da steht.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.07.2004, 10:13
...neu hier

Themenstarter

Beiträge: 5
#3 vielen Dank!
werde ich gleich mal ausprobieren.

Möchte aber dazu sagen, daß ich Adaware schon seit über einem Jahr benutze und die Startseite erst seit ca. 14 Tagen verstellt wird.

liebe Grüße,
Andi



also ich habe jetzt nochmal Adaware laufen lassen. Habe aber nur ein Tracking-Cookie gefunden. Sonst wurde nichts gelöscht. Die Startseite verstellt sich trotzdem unabhängig davon....

Was könnte es denn noch sein?
ich komme einfach nicht weiter...


vielen Dank,
Andi
Dieser Beitrag wurde am 12.07.2004 um 10:48 Uhr von Andi_at_home editiert.
Seitenanfang Seitenende
12.07.2004, 10:49
Member

Beiträge: 1095
#4

Zitat

Andi_at_home postete
vielen Dank!
werde ich gleich mal ausprobieren.

Möchte aber dazu sagen, daß ich Adaware schon seit über einem Jahr benutze und die Startseite erst seit ca. 14 Tagen verstellt wird.

liebe Grüße,

Andi
Das kommt daher das AD-Aware das ersst vor kurzer Zeit in einem Update aufgenommen hat. Es gab einen Trojaner der about:blank benutzt hat.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.07.2004, 10:58
...neu hier

Themenstarter

Beiträge: 5
#5 Hall paff, vielen Dank erstmal für Deine Hilfe!!

Ich habe nun Ad-Aware deinstalliert.
Leider immer noch der selbe effect.
Ich muß nicht mal den Rechner neu starten, sondern nur den IE schließen und neu starten...



lg Andi
Seitenanfang Seitenende
12.07.2004, 11:12
Member

Beiträge: 1095
#6 @Andi

Wie gehts du genau vor

1. Internetoptionen / Startseite einstellen z.B. www.google.de
2. IE schließen
3. Öffnen IE

Nun öffnet er www.msn.de ????????????????????????

Oder wie machst du es?

NAchtrag:

Du hast eine Software namens "Windows Washer"
Vielelicht ist dor irgendwo eingestellt das du Startseite irgendwie resetet wird?
Beschreibung:
Windows Washer from Webroot Software. Useful utility that deletes safe to remove files, cookies, browsing history, etc. Available via Start -> Programs. Disable within the program options - otherwise it is re-enabled in MSCONFIG

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 12.07.2004 um 11:14 Uhr von paff editiert.
Seitenanfang Seitenende
12.07.2004, 12:04
...neu hier

Themenstarter

Beiträge: 5
#7 ja, genau wie du es beschrieben hast.

Nur glaube ich, daß er noch eine Seite dazwischen lädt. Leider geht das so schnell, daß ich nicht mitlesen kann.
Ich lande dann auf:
http://www.msn.de/Default.asp?KC=true&Ath=f

Die Startseite lautet jetzt wieder:
http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home


Winwasher sollte keine Probleme machen, setze ich auch bereits seit Jahren ein. Ich gehe eher von irgendeinem Hijacker aus.

In meinem Temp-Verzeichnis liegt eine Menge an leeren Verzeichnissen, die ich nicht löschen kann und eine Datei namens 'Perflib_Perfdata_77c.dat'
Auch Die kann ich nicht löschen.

Ich laß mal XPClean laufen und schaue nach Trojanern. Wird ein bißchen dauern. melde mich wieder.

danke erstmal! Bin für jede weitere Idee sehr dankbar.

lg Andi
Seitenanfang Seitenende
12.07.2004, 13:55
Member

Beiträge: 1095
#8 @Andi

Das beste zur Zeit gegen HiJacker ist EScan
Einfach mal drüberjagen, am besten im abgesicherten Modus
http://www.rokop-security.de/board/index.php?showtopic=3867

Vielleicht noch eins zum Verständnis
Diese beiden Seite die du beschreibst sind beides Seiten von Microsoft.
Also eigentlich nicht "böse" ;), und mir ist auch kein HiJacker bekannt der auf Microsoftseiten umleitet.

Dies beiden Seiten werden aufgerufen, wenn auf einem frischen Windows noch überhaupt nichts eingestellt wurde.
Sind sozusagen die Ur-Ur Standardseiten

Ich nehme an, das eins deiner "Anti-Malware" Tools die Startseite so zurückgesetzt hat oder den Zugriff verhindert, das Windows auf diese Ur-Ur-Standard zurückgreifen muß, da es annimmt das noch überhaupt nichts eingestellt wurde.

Du könnstet probieren die Startseite im Abgesicherten Modus umzustellen.
Dann läuft kein Programm ausser den nötigsten. Dort sollte es klappen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 12.07.2004 um 14:00 Uhr von paff editiert.
Seitenanfang Seitenende
12.07.2004, 14:59
...neu hier

Themenstarter

Beiträge: 5
#9 das war ein Super Hinweis mit dem Abgesicherten Modus.

Im Augenblick bleibt die Startseite bei Google.de !
Yippeeee



Vielen Dank erstmal, paff!

Jetzt werde ich mal wieder mein Ad-Aware installieren und schauen, ob sich was ändert.
lg Andi
Seitenanfang Seitenende
12.07.2004, 15:10
Member

Beiträge: 1095
#10 @Andi
Damit du einen FolgePost machen kannst schreib ich hier was ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: