IE Startseite www.msn.com

#1 Hi,

irgendwie komme ich mit den bisherigen Hinweisen zu diesem Thema nicht weiter:

Adaware
Spybot
CWShredder
Norton Antivirus
haben mit jeweils aktuellem Update nicht verhindern können, dass im IE immer wieder www.msn.com als Startseite eingetragen wird.

Logfile of HijackThis v1.97.7
Scan saved at 20:25:28, on 09.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98SE\SYSTEM\KERNEL32.DLL
C:\WIN98SE\SYSTEM\MSGSRV32.EXE
C:\WIN98SE\SYSTEM\MPREXE.EXE
C:\WIN98SE\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WIN98SE\EXPLORER.EXE
C:\WIN98SE\SYSTEM\PDESK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\REGISTRYPROT\REGPROT.EXE
C:\PROGRAMME\IOMEGA TOOLS 1.1.3ML\IMGICON.EXE
C:\WIN98SE\SYSTEM\RNAAPP.EXE
C:\WIN98SE\SYSTEM\TAPISRV.EXE
C:\WIN98SE\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\SPYWARE ENTFERNER 20040509 HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WIN98SE\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\Run: [RegProt] c:\programme\registryprot\regprot.exe /start
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: Iomega Watch.lnk = C:\Programme\Iomega Tools 1.1.3ML\IOWATCH.EXE
O4 - Startup: Iomega-Startoptionen.lnk = C:\Programme\Iomega Tools 1.1.3ML\IMGSTART.EXE
O4 - Startup: Iomega Disk Icons.lnk = C:\Programme\Iomega Tools 1.1.3ML\IMGICON.EXE
O4 - Startup: Refresh.lnk = C:\Programme\Iomega Tools 1.1.3ML\REFRESH.EXE

*********************************************

Mein anderer Rechner hat das gleiche Problem mit diesem Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 20:35:27, on 09.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINME\SYSTEM\KERNEL32.DLL
C:\WINME\SYSTEM\MSGSRV32.EXE
C:\WINME\SYSTEM\SPOOL32.EXE
C:\WINME\SYSTEM\MPREXE.EXE
C:\WINME\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINME\SYSTEM\MSTASK.EXE
C:\WINME\SYSTEM\mmtask.tsk
C:\WINME\EXPLORER.EXE
C:\WINME\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\AUDIO\PROGRAM\CTMIX32.EXE
C:\WINME\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\REGPROT\REGPROT.EXE
C:\WINME\TASKMON.EXE
C:\WINME\SYSTEM\RESTORE\STMGR.EXE
C:\WINME\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\HIJACKTHIS\SPYWARE SUCHER 20040509 HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINME\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\Run: [RegProt] c:\programme\regprot\regprot.exe /start
O4 - HKLM\..\Run: [ScanRegistry] C:\WINME\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINME\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINME\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\NAVAPW32.exe /LOADQUIET
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

Die beiden R1-Einträge auf dem ME-Rechner sind ein Teil des Problems. Wenn ich sie fixe, sind sie über kurz oder lang wieder da.

Habt Ihr noch irgendwelche Ideen?

Gruß

Andy

#2 Scanne mit mwav.exe und loesche manuell alles, was er dir als "bad" anzeigt.
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

Lade den WebWasher, scanne und stelle dann unter IntenetOptionen die Startseite nach Wunsch ein.
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
------------------------------------------------------------------------------------------------------------
Rechner 2:

Fixe:
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm


neustarten

mit den Tools scannen , auch mit mwav.exe
und mit Webwasher.
und OnlineScann com PestPatrol
http://www.pestscan.com/Scan.asp

-OnlineScann
http://housecall.trendmicro.com/


Ueberpruefe mal die C:\WINME\SYSTEM\WMIEXE.EXE
mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

Deine Hinweise haben mir leider nicht geholfen.
Ein Teil Deines Beitrages ist irgendwie verlorengegangen (zum 1. Rechner) und mein Accouint ist auch kaputt, daher schreibe ich jetzt unter anderem Namen.

RegProt, dass Du absschalten wolltest, ist übrigens ein Super-Tool, das ein Schreiben in die Registry erst nach Rückfrage zulässt. Damit kann man sich so manchen Müll ersparen: http://www.diamondcs.com.au/index.php?page=regprot

Das hier war die Lösung des Problems aus news://microsoft.public.de.german.inetexplorer.ie6

Sobald ich Ad-Aware abschalte, gibt es kein Problem mehr. Was für eine Ironie des Schicksals.


"Hallo Roland,

ich glaube, es handelt sich um ein Problem mit Ad-aware (meine Version:
6.181).

Bei mir findet Ad-aware seit einigen Tagen einen "möglichen
Browser-Hijacker".

Hier der entsprechende Eintrag aus der Log-Datei:

Starte erweiterte Registrierungsprüfung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet
Explorer\MainStart Page about:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"

Ich interpretiere dies so, dass die IE-(bei mir 6.0 unter W2k)-Startseite
"about: blank" von Ad-aware als möglicher Hijacker betrachtet und gemeldet
wird (Ursache mir unbekannt). Wenn ich Ad-aware nun erlaube, den "Hijacker"
zu entfernen, wird meine Startseite "about:blank" durch die Standardseite
von Microsoft ersetzt ( bei mir:
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home).
Beim nächsten IE-Start lande ich dann auf der Startseite von MSN.

Mit MSN-Startseite (oder einer anderen Seite, habe z. B. meine Firmenseite
getestet) findet dann Ad-aware keinen Hijacker mehr.

Auch ein manueller Eintrag der Startseite "about:blank" in die Registry
läßt Ad-aware einen "Hijacker" finden.

Übrigens läßt eine manuelle Änderung der Standard-Startseite vom IE (s. o.)
auf "about:blank" in der Registry Ad-aware dann bereits zwei Hijacker
finden.

Übrigens habe ich auch Spybot eingesetzt und dort keine "Spione" gemeldet
bekommen.

Mein Vorschlag: Hijacker-Warnungen von Ad-aware bezüglich der Startseite vom
IE, wenn "about:blank" (also "leere Seite") bis auf Weiteres ignorieren.

"


Gruß

Andy

#4 Vielleicht hast du dich inzwischen weiter informiert. Du benutzt Adaware, da gibt es einen Bug, der about:blank als HiJacker identifiziert. Entweder den in Quarantäne schicken oder eine andere Startseite einstellen. Referénzfile bei Gelegenheit updaten.
Gruß

#5 Hallo Leute, ich kann leider der Diskussion nicht so richtig folgen, habe aber ein ähnliches Problem: Wenn IE starte, kommt so eine komische Startseite, www.msn.de/Default.asp?Ath=fKC=true&Ath=f, die ich nicht haben will.
Nun setze ich die Startseite wieder auf about:blank, dann ist erstmal alles in Ordnung. Wenn ich jetzt AdAware durchlaufen lasse, findet er nun ein Objekt, das ihm verdächtig vorkommt und vorher nicht da war. Sobald ich ihn das Objekt entfernen lasse, ist auch diese Starseite wieder da. AntiVir und Neustarts nützen anscheined nicht. Was kann ein Laie wie ich dagegen tun???
MFG JPKern

#6 AdAware denkt, dass About Blank ein Hijacker ist, ist es aber nicht.
Also einfach nicht entfernen.
MFG
DAFRA