Hallo,

Ich bekomme wie viele andere auch keine andere Startseite als so ne scheiß Seite , die immer da ist. Ich Hab es mit allen Programmen probiert aber nichts klappt. Meine einzige Hoffnung is der Hijackthis Log. Kann mir jemand sagen was ich da machen soll?:


Logfile of HijackThis v1.97.7
Scan saved at 03:06:05, on 20.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Spiele\HijackThis.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Spiele\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php

mmm...

Der interessante Teil fehlt, genau das, was alles im Log unter dem steht, was du gepostet hast, ist interessant ... so hast du keinen ungewöhnlichen Dienst am Laufen (du hast Hijackthis allerdings 2x aufgerufen) ...

Ich lass es nochmal laufen sry ^^

Logfile of HijackThis v1.97.7
Scan saved at 11:54:16, on 20.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Spiele\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php

hmm es ist immer nur das, wie bekomme ich denn diesen nicht
ungewöhnlichen scheiß weg?

mmm...

Ein normales Logfile sieht so aus (wobei bei mir mittlerweile die Einträge für die Startseite fehlen):

Logfile of HijackThis v1.97.7
Scan saved at 12:00:13, on 20.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Opera7\opera.exe
C:\Dokumente und Einstellungen\Lokadamus\Desktop\Seltene Sachen\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38075.2416203704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35DD868F-B42E-4CA7-BB46-882E6C7EBA05}: NameServer = 145.253.2.203 145.253.2.81

Und den unteren Kram müssen wir sehen, ansonsten wissen wir nicht, was alles beim Start aufgerufen wird. So kannst du höchstens noch "msconfig" aufrufen und dann einen Screenshot vom Systemstart posten (den interessanten Bereich ausschneiden und als Gif speichern, ansonsten ist es meistens zu gross; so können wir vielleicht auch erkennen, welches Programm Probleme macht) ... Ad-Aware, Spybot und CWShredder hast du alle schon upgedatet und getestet?

Ja ich habe alles schon getestet, das einzige was etwas findet ist Hijack this.

Das einzige was beim Systemstart noch geladen wird ist:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mehr steht da leider nicht...

Original geschrieben von Herri
Das einzige was beim Systemstart noch geladen wird ist:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mehr steht da leider nicht...

Start -> Ausführen -> regedit
dort hangelst Du dich dann durch die verschiedenen Ordner und guckst was alles in "Run" steht.

Ich hatte das gleiche Prob mit einer anderen Seite. Alles probiert adaware, spybot usw. keine Chance.
Hab mir dann beruflich eine Windows PE (PEbuilder) zusammenbauen müssen (windowsxp von CD booten) und hab dann mehrere Firmenprogramme integriert. Zum Schluss hab ich noch adaware drauf gemacht. Mit CD gebootet, adaware laufen lassen und weg war das Ding. Unter "Real"Windows sagte er immer das er's entfernt hat, war aber immer noch da. Mit der BootCD war's weg!

Edit: Diese Dinger starten nicht per run usw. Befehl, sondern sind direkt in der Registry verlinkt! Teilweise in der default-Page "versteckt" so das man sie nicht mal als Klartext suchen kann!

Wenn ich ein anderes Browser Programm verwende, wie etwa Mozilla, kann mir das doch ziemlich egal sein oder ist das schlimm mit dme Internet Explorer?

Original geschrieben von Herri1
Ja ich habe alles schon getestet, das einzige was etwas findet ist Hijack this. mmm...

Moment, mach mich nicht schwach! HijackThis findet in diesem Sinne nix, es erstellt nur eine Liste der Programme die beim Start aufgerufen wird. Dabei sind auch die normalen Programme dabei ... ich hoffe, du hast die Einträge nicht einfach gelöscht ...

Ehmm ja ich hab sie gelöscht... Aber da war nix andneres als die bekannten EInträge, nun nochmal zur Frage: Ist es denn schlimm mit der Startseite beim Inet Explorer? Ich benutz ja eh Mozilla.

mmm...

Nein, im Normalfall arbeiten diese Sachen im Hintergrund und sammeln Informationen zu deinem Surfverhalten. Solange die Dinger keinen weiteren Traffic oder Probleme verursachen, must du selber wissen, ob du sowas draufhaben willst. Mozilla/Firefox und Opera springen auf die Spyware momentan nicht an, glücklicherweise ... wegen den gelöschten Einträgen, nunja, darüber wird meistens der Virenscanner und einige andere Sachen gestartet, die rufst du nun nicht mehr auf, die Einträge liegen aber alle noch da, wo Hijackthis gestartet wurde, nur wie man die wieder reinbekommt, weiss ich spontan nicht ...

Problem, durch format c gelöst :) Danke für die vielen Antworten is echt nen super forum hier :)

Original geschrieben von Herri
Problem, durch format c gelöst :) Danke für die vielen Antworten is echt nen super forum hier :)

Das nächste Mal tuts wahrscheinlich auch der CWShredder (http://www.softpedia.com/public/cat/10/17/10-17-150.shtml). Und damit das nichtmehr passiert, am besten einen alternativen Internet Browser verwenden. ;)

Ich hab dasselbe Probleme: Adaware findet etliche CoolWebsearch Registry Einträge und auch eine dll. Adaware löscht die Einträge sofort und die Datei beim nächsten Booten. Lasse ich nun nochmal Adware laufen ist alles sauber. Doch obwohl ich danach den IE nicht verwende, sondern Opera, zeigt mir Adaware nach einiger Zeit wieder die ganzen Cool Web Search Sachen an. Ubfaßbar, dass so ein Browser Hijacker hartnäckiger ist als Würmer oder Viren.

mmm...

Dann ist meistens noch eine 2. DLL mit im Spiel, wo alle Sachen nochmal drinne stehen. Wenn du ein Log postes (und nix entfernst), können wir nachschauen, ob wir was finden ... im Prinzip kann man dazu nur die 3 oben schon genannten Programme drüberlaufen lassen: Ad-Aware, Spybot und CWShredder, wobei jedes dieser Programme erstmal ein Onlineupdate bekommen sollte. Spybot 1.2 wird allerdings nicht mehr weiter unterstützt und das letzte offizielle Update ist mittlerweile auch schon 1 Monat alt. Wird Zeit, das Version 1.35 rauskommt ...

Nebenbei ist auch die Frage, wie man an sowas rankommt: Email oder Browser, bei beiden Sachen würde ich mittlerweile zu Alternativen greifen: Browser: Opera oder Firefox, EMail: Thunderbird ...

Ist nen neuer Trojaner, den hat vorhin mein kumpel mit der genau selben Startseite gehabt. Adaware hat ihn merkwürdiger Weise gekillt. Kaspersky hat auch noch nen ganzen haufen trojaner in form von dlls gefunden. rund 40stück. war echt heftig