Win XP: IE 6 - Startseite & Suchenframe (Lupen-Icon)

Hallo siggi,
es gab mal in der Vergangenheit einen Virus der die Startseite im IE beeinflußt hat. Evtl. haste dir den ja gefangen. Laß mal nen Virenscanner laufen.
Gruß Merlin

hey Siggi,

laß auch noch sicherheitshalber AdAware( http://www.lavasoft.de/ ) über dein system laufen
oder schau noch zusätzlich hier nach: http://www.pctip.ch/helpdesk/kummerkasten/archiv/internet/22514.asp

diese dinger sind ziemlich hartnäckig. hatte auch schon einen. leider half damals bei mir nur eine komplette neuinstallation.

SerS
Philipp

Schau mal hier nach, da ist dein Problem sehr gut beschrieben und Lösungen gibt es auch.
http://www.computerhilfen.de/magazin_spyware.php3

Und ließ Dich mal in unser Sicherheit/Viren-Forum ein, da gabs zur "veränderten Startseite" einige Threads.

Hallo zusammen,
ich habe (bis auf die Neuinstallation) nun alles ausprobiert. Einige Tools haben zwar was gefunden, aber das Problem ist immer noch da. ???

hier ist der Link, der immer eingetragen wird, vielleicht weis jemand was dazu:
http://linklist.cc/index.php?aid=20420

Damit er in der Registry nich so leicht zu finden ist, wird er dort wie folgt abgespeichert:
http://%78%68%77%78%6D%6A%2E%74%2E%6D%75%78%61%2E%63%63/%68%2E%70%68%70?%61%69%64=420

Ich habe auch schon alle Registry-Einträge manuell geändert, in denen diese Adresse stand. Aber immer wieder nach dem neu anmelden standen diese Einträge drin.

Als Virescanner benutze ich AntiVir Guard für WinXP, dieser findet mit der neuesten Signatur nichts.

Hast Du mal HiJackThis laufen lassen?
 

Ja, habe ich laufen lassen, ich hab' allerdings keine Ahnung, wie ich die Antwort interpretieren soll (ca.80 Zeilen).

Naja den Inhalt der LOG-Datei kannst du hier posten dann kann man mal nachschauen..

Gruß

OK, ist halt ein bischen viel.

Hier die Logdatei:

Logfile of HijackThis v1.97.7
Scan saved at 19:34:09, on 07.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\MICROSTAR\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MI43DA~1\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
U:\download\Software für IE-Problem (Startpage...)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de/ie
--> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://xhwxmj.t.muxa.cc/s.php?aid=420 (obfuscated)
--> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://xhwxmj.t.muxa.cc/s.php?aid=420 (obfuscated)
--> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://xhwxmj.t.muxa.cc/s.php?aid=420

(obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
--> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xhwxmj.t.muxa.cc/h.php?aid=420 (obfuscated)
--> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://xhwxmj.t.muxa.cc/s.php?aid=420 (obfuscated)
--> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://xhwxmj.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
--> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://xhwxmj.t.muxa.cc/s.php?aid=420

(obfuscated)
--> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xhwxmj.t.muxa.cc/h.php?aid=420 (obfuscated)
--> R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
--> R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1BDD55B8-3985-4E59-B906-5E0AD56D6710} - (no file)
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [Internat Conf] \bootconf.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/Cabs/1796024.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -

http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -

http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37985.4246180556
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -

http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing)
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing) (HKLM)

Fixen:
Alle mit dem -->
(Wo kommen denn die Pfeile her,hast du die reingemacht?)

O2 - BHO: (no name) - {1BDD55B8-3985-4E59-B906-5E0AD56D6710} - (no file)

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll

O4 - HKLM\..\Run: [Internat Conf] \bootconf.exe

O4 - HKLM\..\Run: [sys] regedit -s sys.reg

O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm

O14 - IERESET.INF: START_PAGE_URL=about:blank

O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/Cabs/1796024.cab

O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing)
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing) (HKLM)

Folgende werden beim start nicht benötigt(performance-Bremse) kannste fixen musste aber nicht:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

Nach dem Fixen neustarten und folgende Dateien löschen:
SDIEInt.dll
bootconf.exe
sys.reg

Am besten danach nochmal ein LOG machen und posten

Gruß

Hallo und guten Morgen,
danke, werde ich machen, allerdings erst heute abend, berichte dann wieder über das Ergebnis.

  Hallo, das hat nun geklappt.  
Aller besten Dank!

So hab ich's gemacht:
1.)
zunächst lies ich AntiVir mit der Option 'alle Dateien' laufen.
AntiVir schlug Alarm, und machte beim Virus-Löschen folgenden LOG-Eintrag:
C:\Programme\AVPersonal\INFECTED
  update911.VIR
      [FUND!] Enthält Signatur des Java-Scriptvirus JS/Startpage.gen
      WURDE GELÖSCHT!
Dies führte aber trotzdem zunächst nicht zu dem gewünschten Erfolg.

2.)
Ich lies HiJackThis die vorgeschlagenen Einträge fixen. Danach startete ich den PC neu und fand lediglich die Datei sys.reg, die anderen löschte wohl HiJackThis bereits.

3.)
Mit SpyWareBlaster prüfte ich die IEBrwoser-Pages. Und sie da, die doofen falschen Einträge waren weg.

Nach dem IE-Start war alles so wie sein soll.

Das fixen der Zeile 'O2-BHO:(no name)-{...}-C:\PROGRA~1\STARDO~1\SDIEInt.dll' mit zugehörigem löschen der Datei 'SDIEInt.dll' machte das Programm Star Downloader unbrauchbar.
Dieses Programm habe ich dann deinstalliert. Seit ich DSL hab' brauch ichs eh nicht mehr.

4.)
Ein abschliesender Registryscan mit regcleaner brachte noch ein paar übrige Einträge.

Das allerbeste bei der doch recht aufwändigen Säuberungsaktion ist ein deutlich spürbar schnellerer Rechner.

Nochmal DANKE an alle beteiligten!
 

PS: die Pfeile (-->) stammten von mir und sollten die Zeile markieren, die ich verdächtig fand.