Startseite im IE verändert sich permanent selbst

#1 hallo zusammen!

ich habe da ein problem.

bei mir verändert sich die startseite im internet-explorer und im crazybrowser immer wieder von selbst! ich kann sie auch nicht unter extras / optionen verändern, da sie dort hellgrau hinterlegt ist und eine eintragung in das fenster NICHT MÖGLICH ist

anstatt meiner google-startseite wird dann immer http://www.search-space.com/ als startseite aktiviert.

da ich sie nicht ändern kann, gehe ich in regedit suche den wert und ändere ihn wieder in http://www.google.de

dann geht es auch wieder..... bis zum nächsten neustart

a) weiss jemand wie ich dies unterbinden kann?
b) woher dieser eintrag immer wieder kommt und ich diesen job endgültig entfernen kann?
c) ich änderungen an der startseite deaktivieren kann?


ich habe windows xp home drauf und den internet-explorer 6

solltet ihr mehr infos benötigen, lasst es mich bitte wissen.

DANKE IM VORAUS!!!

ps: wer lust hat, kann mich häufig abends (aber erst so ab 23:00 uhr) auf unserem teamspeak-voice-server ereichen. infos und ip auf http://www.musel-online.de (ist auch ne hilfe-seite, die sich aber erst noch im aufbau befindet) .... evtl. kann man das gemeinsam online ja besser beschnacken... .... wenn nicht auch gut - ich freue mich über jede form der hilfe!!!

DANKE NOCHMAL!!!
__________
...::: ESSE NIE GELBEN SCHNEE :::...

#2 hiho
ich bin zwar nicht ganz der profi, aber immerhin ein
ambizionierter ahnungsloser
geh mal auf diesen link http://www.merijn.org/files/HijackThis.exe
da lädst du dir gleich hithisjack runter... sofern du das nicht hast...
ich weiss ja nicht so recht ob das was bringt, aber ich hatte ein ähnliches problem, mit einer anderen startseite.
naja, wenn de das gemacht hast, dann schreib mal das log hier rein .
ich denke raman wird dir dann sicherlich helfen können.
und sonst kann ich es auch versuchen, bin auch grad am herrausfinden wie diese ganzen progs funktionieren

MfG
Angel
__________
Scio, ut nescio

#3 Das wird wohl ein Hijacker sein(icht CWS) . Lies dir zur Erklaerung von Hijackthis diese einmal durch: www.hji.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter

#4 was soll ich denn unter http://www.hji.klaffke.de nachlesen???

das ist alles, was da steht:

Markus Klaffke
Friedrich-Stampfer-Str. 15
28329 Bremen

email@klaffke.de


Testseite

hm ???

egal.... hab mal mit meinem securtiy task manager alle dienste / jobs mit ihren eigenschaften und inhalten anzeigen lassen.

die datei NavExt.dll im verzeichnis c:\windows wurde mir als potentiell unsicher angezeigt und enthält.... welch ZUFALL den eintrag mit der url die sich ständig selbständig als standart-seite im IE bei mir einträgt.

weiss jemand, ob man diese dll gefahrlos löschen kann oder damit auch noch andere systeminformationen zusammenhängen, die man nicht entfernen kann???

DANKE!!!!!
__________
...::: ESSE NIE GELBEN SCHNEE :::...

#5 Eigentlich sollte da eine Anleitung zu Hijackthis stehen, aber er soll wohl gerade daran arbeiten. Du kannst dir die infos auch aus diesem (interessanten) Artikel herauslesen: http://www.trojaner-info.de/news/ntsearch.shtml
__________
MfG Ralf
SEO-Spam Hunter

#6 HijackThis hat folgendes angezeigt:

Logfile of HijackThis v1.97.7
Scan saved at 16:22:26, on 06.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Tools\NormanAntiVirus\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\TOOLS\NORMANANTIVIRUS\nvc\BIN\NVCSCHED.EXE
E:\TOOLS\NORMANANTIVIRUS\nvc\BIN\NJEEVES.EXE
E:\TOOLS\NORMANANTIVIRUS\Nvc\BIN\nipsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\TOOLS\NORMANANTIVIRUS\Nvc\BIN\ZLH.EXE
E:\Tools\ZONEAL~1\ZONEAL~1\zlclient.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\WButton.exe
E:\Tools\TweakXP Pro\tranicon.exe
E:\TOOLS\NORMANANTIVIRUS\Nvc\BIN\NYMSE.EXE
E:\TOOLS\NORMANANTIVIRUS\Nvc\BIN\NIP.EXE
C:\WINDOWS\system32\monitorbk.exe
E:\Tools\Kalender\Rainlendar\Rainlendar.exe
E:\Tools\MOZILLA BROWSER\bin\mozilla.exe
C:\WINDOWS\System32\svchost.exe
E:\Tools\CrazyBrowser\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Tools\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find <--- ist das korrekt?

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.goolge.de

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/ <---ist das korrekt?

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/ <--- ist das korrekt?

O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll <- da ist die ungewünschte start-url drin!!! dann die datei gelöscht werden oder sind da noch andere von windows benötigte informationen enthalten, die ich nicht entfernen kann???

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Tools\SpyBot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Norman ZANDA] E:\TOOLS\NORMANANTIVIRUS\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\Tools\ZONEAL~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [Wbutton] C:\Program Files\Launch Manager\WButton.exe
O4 - HKCU\..\Run: [TransparentIcons] "E:\Tools\TweakXP Pro\tranicon.exe" -ex
O4 - Startup: Rainlendar.lnk = E:\Tools\Kalender\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Belkin PCMCIA WLAN Monitor.lnk = C:\WINDOWS\system32\monitorbk.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)

O13 - WWW Prefix: ehttp.cc? <--- ist das korrekt???

O17 - HKLM\System\CCS\Services\Tcpip\..\{110D8D2F-D15F-49C8-AC67-6C480D9F0681}: NameServer = IP HABE ICH RAUSGENOMMEN
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ECBA3BB-7D09-4562-ADA9-C6B10EBBCD95}: NameServer = IP HABE ICH RAUSGENOMMEN
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8714CDE-64BD-4EBD-A163-2D59FD3AA81B}: NameServer = IP HABE ICH RAUSGENOMMEN
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEE5E8E3-5F2A-4471-96E7-F836526592F5}: NameServer = IP HABE ICH RAUSGENOMMEN
O17 - HKLM\System\CS1\Services\Tcpip\..\{110D8D2F-D15F-49C8-AC67-6C480D9F0681}: NameServer = IP HABE ICH RAUSGENOMMEN

und ps: kann wozu ist die datei winlink.dll gut???? kommt mir auch "komisch" vor!?

DANKE IM VORAUS!!!
__________
...::: ESSE NIE GELBEN SCHNEE :::...

#7 alle angaben sind ohne gewähr, da ich noch wie gesagt nich so gut bescheid weiss....

lass es dir von jemandem bestärigen der ahnung hat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Tools\SpyBot\SPYBOT~1\SDHelper.dll


so... ich weiss nicht ob das in ordnung ist... wie gesagt lass es dir bestätigen bevor du die löschst... sind bestimmt noch fehler drinnen

MfG
Angel
__________
Scio, ut nescio

#8 Du hast einen Coolwebsearch hijacker. Lies dir das mal durch: http://www.merijn.org/cwschronicles.html

Es waere nett, wenn du mir diese Datei schicken koenntest:
C:\WINDOWS\system32\hosts.vbs
NavExt.dll
winlink.dll

entweder an die Adresse in meinem Profil oder an virus@protecus.de.
Infos zu diesen Dlls kannst du hier finden(und dem Link oben): http://sysinfo.org/bholist.php sie sind teil des Coolwebhijackers.
__________
MfG Ralf
SEO-Spam Hunter

#9 @AngelKeeper :
Das ist Teil von SpybotSD und ist erwuenscht. Ein Thread darueber laeuft gerade hier: http://www.rokop-security.de/board/index.php?showtopic=1528&hl=
__________
MfG Ralf
SEO-Spam Hunter

#10 mensch ihr seid ja fix!!!

also auf merijn.org hab ich schon gelesen..... leider hab ich oft sowas wie "bahnhof" verstanden

kann ich denn diese drei dateien
c:\windows\system32\hosts.vbs
NavExt.dll
winlink.dll
löschen?
__________
...::: ESSE NIE GELBEN SCHNEE :::...

#11 Nachdem du CWshredder( http://www.merijn.org/files/CWShredder.exe )laufen lassen hast (die Dateien hast du mir ja schon geschickt? ) und sie noch da sind, natuerlich.
__________
MfG Ralf
SEO-Spam Hunter

#12 du meinst jetzt die letzte zeile, oder? und was is mit den anderen?
__________
Scio, ut nescio

#13 also winlink.dll und hosts.vbs sind nu wech

aber die NavExt.dll lässt sich leider nicht löschen "der zugriff wurde verweigert"

wat nu?

ps: was willst du denn mit den dateien??? und..... öhm.... die vbs issja nu schon gelöscht (ups)
__________
...::: ESSE NIE GELBEN SCHNEE :::...

#14 Diesen Eintrag bitte fixen:

O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll

neu starten und dann sollte sich die Datei loeschen lassen.

Wenn du die Dateien an virus@protecus.de schickst, werden sie automatisch an diverse AV-Hersteller weitergeleitet. Neuerdings bauen sie Hijacker und andere Malware mit ein. Diese Hijacker sind ja inzwischen mehr ITW als Wuermer und Viren!
__________
MfG Ralf
SEO-Spam Hunter

#15 eeeehm... nur so damit ich es weiss.....

was is ITW

MfG
Jasi
__________
Scio, ut nescio