Forum
Tipps
News
Menu-Icon

startseite ändert sich in eine englische suchmaschiene

Hallo, ich habe ein Problem, und zwar lädt der internet explorer immer die selbe Startseite(ist so eine komische Suchmaschine auf englisch). Ich bekomme sie nicht weg, weder unter Optionen noch mit ad.aware.


Habe aber gelesen, das "hijack" ein kleines Programm den Übeltäter ausfindig machen soll. Das Problem bei hijack ist nur, dass es auch viele andere ungefährliche Dateien anzeigt. Hier ist die Liste, die hijack ausspuckt. Irgendwo darunter muss auch dieses miese Programm sein, das die Sicherheitslücke im Ie ausnutzt.



Antworten zu startseite ändert sich in eine englische suchmaschiene:

Hi,

geh auf www.chip.de und hol dir das Programm CWShreder dann müsste es weg sein.

Grüße

hatte ich gestern auch schon den cwshreder und danach spybot und alles war sauber und heute die zweite seite öffnen über internet explorer und das selbe war wieder da


hast noch was was ich durchlaufen kann lassen


danke im vorraus

sobald ich den pc einen tag nach vorn drehe  also ein anderes datum eingebe ist alles wieder so das dsich die startseite ändert und habe mir noch den aktuellen spybot heruntergeladen und der findet dan immer diesen WebDialer: Settings (Registrierungsdatenbank-Wert, nothing done)
  HKEY_USERS\S-1-5-21-1177238915-362288127-1801674531-1004\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
 


kann mir jemand bei meinem problem helfen

danke

Unter Magazin->spyware bei Hijackthis lesen->runterladen, alle programme schliessen und ein LOG machen und hier posten...

Gruß

das wurde durch das programm gefunden wäre sehr dankbar wenn mir jemand eine lösung anbieten könnte



Logfile of HijackThis v1.97.7
Scan saved at 15:10:48, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\PestPatrol\PPControl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\download\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gno.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gno.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gno.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gno.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gno.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gno.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E6626DEF-7403-483F-9263-B644B22282BE} - C:\WINDOWS\System32\gno.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [BearShare] "C:\download\BearShare Test\BearShare.exe" /pause
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FlatRate Manager] C:\Programme\FlatRate Manager 2001\FlatRate Manager.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [16x_setup] C:\download\Updater\Autoupdater_V4.exe
O4 - HKCU\..\Run: [SSS5] "C:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "C:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SIA5] "C:\Programme\Steganos Internet Anonym 5\sia5.exe" /booting
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\flatrate\flatrate.exe
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Omega Research Task Scheduler.lnk = C:\Programme\Omega Research\Program\orschd.exe
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{669FEF2D-DCEE-4C4D-A4ED-BCA48B24AF36}: NameServer = 217.237.149.225 194.25.2.129

Schliess doch bitte mal vorher alle Programme auch die unter der Uhr, sonst sucht man sich dusslig..

Dann kannste auch gleich mal noch den SP-Cleaner benutzen und danach nochmal ein LOG machen(vorher progs schliessen)

Gruß

habe ich gerade noch mal durchlaufen lassen wenn ich datum vordrehe ist die search seite wieder da und weißt mich darauf hin das mein pc mit mit spionen infiziert ist ich werde morgen noch mal alle programme schliesen und den hijackthis noch mal laufen lassen ich muß jetzt erst mal los in diesem forum http://board.protecus.de/showtopic.php?threadid=9248&time=&pagenum=lastpage&s=bc44d602e9fcc27514bee4459ee70f7e#bottom stehen ähnliche sachen von betroffenen

melde mich morgen wieder ersmal danke

kommt mir zwar auch nicht weniger vor aber habe noch schnell die liste erstellt


Logfile of HijackThis v1.97.7
Scan saved at 19:37:53, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\download\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\oaanea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\oaanea.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\oaanea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\oaanea.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\oaanea.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\oaanea.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62D39452-F2B7-46BF-9E6F-8B6E8DF8A516} - C:\WINDOWS\System32\oaanea.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E6626DEF-7403-483F-9263-B644B22282BE} - C:\WINDOWS\System32\gno.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [BearShare] "C:\download\BearShare Test\BearShare.exe" /pause
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FlatRate Manager] C:\Programme\FlatRate Manager 2001\FlatRate Manager.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [16x_setup] C:\download\Updater\Autoupdater_V4.exe
O4 - HKCU\..\Run: [SSS5] "C:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "C:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "C:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SIA5] "C:\Programme\Steganos Internet Anonym 5\sia5.exe" /booting
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\flatrate\flatrate.exe
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Omega Research Task Scheduler.lnk = C:\Programme\Omega Research\Program\orschd.exe
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.335625

Haste den SP-Cleaner schon drüberlaufen lassen der sollte den Hijacker entfernen...

Ansonsten bekommst den immer wieder, kannste ixen bis zum abwinken *gg

Den hier noch prüfen falls du nicht weist wa es ist:
Kaspersky-Online Virentest
O4 - HKCU\..\Run: [16x_setup] C:\download\Updater\Autoupdater_V4.exe

Gruß

habe den SP-Cleaner durchlaufen lassen und hatte danach immer noch das gleiche problem werde morgen noch den virentest durchlaufen lassen und hoffe das es was hilft


danke

Was steht denn im LOG des SP-Cleaners, liegt im Programm-Ordner

Gruß

kann ich im moment nicht nachschauen aber werde morgen schauen und es mitteilen mir ist aber aufgefallen das ich seit sa. ungefähr habe und vor diesem datum giebt es kein Systemherstellungsdatum und wenn ich irgend ein programm öffne kommt immer ein fenster in dem steht das mein pc mit spyware infiziert ist und die möglichkeit sich was runter zu laden sowas hartnäckiges hatte ich noch nie


danke für euere bemühungen

@Nighty Du bist sehr geduldig  ;) Die sollen sich mal die Beiträge durchlesen z.B. Browser hijacker da ist alles beschrieben :)

« Letzte Änderung: 26.05.04, 22:39:00 von coolopa »

Jo in Zukunft schreib ich nur noch: RTFM  ;D

hier ist das protokoll welches ausgelesen wurde


26.05.2004 19:18:59 SPhjFix started v1.07
26.05.2004 19:18:59 Stealth-String found
26.05.2004 19:19:03 Restart
26.05.2004 19:20:59 2nd Step
26.05.2004 19:20:59 Error while deleting Hijack-DLL
26.05.2004 19:20:59 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\System32\oaanea.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\System32\oaanea.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\System32\oaanea.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\System32\oaanea.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\System32\oaanea.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\System32\oaanea.dll/sp.html
26.05.2004 19:21:13 Cleaned


« Heuristic/Trojan.Win32 Mscnfg32.exe »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Metasuchmaschine
Unter einer Metasuchmaschine versteht man eine Internet-Suchmaschine, die anders als zum Beispiel Google oder Microsofts Dienst Bing nur ihre eigenen Daten durchsuchen.&n...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...

Programm
Siehe Software...