Hallo,
bin neu hier und grüße alle. Find ich klasse, wie man sich hier gegenseitig helfen kann.
Zu dem Problem:
Seit einigen Wochen werden meine Browser (IE, FlashPeak/Avant/Opera) zur MSN Startseite umgeleitet. Zunächst erkannte Adaware einen DataMiner.
Wurde er gelöscht, erkannt HijackThis
einen weiteren Eintrag unter:
HKLM\System\CCS\Service\Tcpip\(Wert): Name Server 217.237.150.225.194.25.2.129

Wurde der gefixt, stand beim erneuten Scan unter R0 : ....Startseite: msn/search....usw.

Der Eintrag wurde von mir im IE ebenfalls manuell geändert, da ich lieber mit Google starte. So ging das fast täglich.
Ich installierte Spygot S&D 1.3 mit Teatimer. Dieses Tool meldete mir jede Veränderung in der Systemeinstellung.Ich konnte entscheiden, ob ich die Änderungen zulasse oder verweigere. Leider meldet er mir nicht, von wo aus bzw. welche Datei diese Veränderung wünscht.(Damit wäre der Übeltäter erkannt)
Verweigere ich das Verändern der Startseite zu MSN, bekam ich mit meinem häufig genutzen Avantbrowser keine Verbindung mehr ins Internet. Erst musste ich den IE starten, dann erst funktionierten Avant und die anderen.
Manchmal meldet meine Zugangssoftware kein Modem und ich muß dort auch erst wieder die Einstellungen korrigieren oder komplett Neustarten.
Alles lästig aber machbar.
Meine Internetspuren beseitige ich mit Steganos "oneklick". Und immer dann, wenn er den Verlauf bzw. cookies löscht, sehe ich den Eintrag von "teatimer", ob ich das Ändern der Startseite zu MSN zulassen möchte. Ich kann diese Löschvorgänge mehrmals hintereinander ausführen, doch bekomme ich das verursachende Programm dieser Meldung nicht zu fassen.
Langsam nervt dieses ständige rumfuhrwerken an den Einstellungen, denn es geht Zeit flöten.
Opera ist auch davon betroffen. Aber das liegt wohl daran, daß dieser Hijacker in meinem System sein Unwesen treibt.
Seit vorgestern finden weder Adaware noch HijackThis den Eindringling.
Spybot,CW Shredder,SPHiFix versagen auch.
Das er aber noch da ist, sehe ich daran: Wenn ich die Veränderung zu MSN zulasse, kann ich mit Steganos "Oneklick" alls löschen.Verweigere ich das, steht mein Löschen die "Teatimer"-Meldung.

In den Ordnern IE/Temp, bzw. Cookies und History finde ich keine Einträge. Doch irgendwo muss das Programm doch stecken ??!
Kann mir vielleicht jemand weiterhelfen ?
Vielen Dank im vorraus.
Gruß Hubble

Opera? wird Opera sicher AUCH umgeleitet?
Ganz sicher?


FlashPeak? Du meinst SlimBrowser? => http://www.flashpeak.com/sbrowser/ ?
Avant? => http://www.avantbrowser.com/download.html ?
Dies sind beides nur Aufsätze auf den IE, also sehr verständlich dass sie auch umgeleitet werden.
Aber das mit Opera , das gibt mir zu denken. Wird Opera auch wirklich umgeleitet?

Welche Version von Opera?
Welche Version von IE?

Kannst ja mal dein HiJackThis-Log-File hier posten

Hallo Shadow,
danke für die schnelle Antwort.
Opera leitet nicht zu MSN um. Das habe ich falsch geschrieben. Aber Opera lässt sich auch nicht mehr starten, wenn ich das Umstellen zu MSN im "TeaTimer" verweigere. Meine Zugangssoftware (T-online) meldet mir nach erneutem Aufruf, keine Konfiguration.Ich muß das DSL-Modem neu einstellen bzw. nur das Programm durchlaufen lassen oder den PC neu starten.
Es gibt keine sichtbaren Veränderungen in den Netzwerkeinstellungen.
Heute Morgen war nichts zu sehen, doch am Abend ist er wieder da. Hier das LOG-File:

Logfile of HijackThis v1.97.7
Scan saved at 19:19:26, on 29.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\A-Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
D:\A-Programme\FreeMem Professional\fmempro.exe
D:\A-Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
D:\A-PROG~1\browser\Avant\AVANTB~1\iexplore.exe
C:\Dokumente und Einstellungen\admin\Desktop\Sicherheit\Antispy,Würmer\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\A-PROG~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\A-Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [FreeMem Pro] "D:\A-Programme\FreeMem Professional\fmempro.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\A-Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\A-PROG~1\browser\Avant\AVANTB~1\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\A-Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Hervorheben - D:\A-PROG~1\browser\Avant\AVANTB~1\Highlight.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\A-Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Suchen - D:\A-PROG~1\browser\Avant\AVANTB~1\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\A-PROG~1\browser\Avant\AVANTB~1\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\A-PROG~1\browser\Avant\AVANTB~1\OpenAllLinks.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89C46A0E-6352-40AC-B3CC-D4CC502A015A}: NameServer

Wenn ich nun 017 mit HijackThis fixe und vorher den Teatimer abstelle, bekomme ich beim nächsten Scan die Startseite MSN eingetragen.
Sollte ich dann diesen Eintrag fixen geht kein Browser mehr. Erst, wenn ich den IE einmal starte, laufen die anderen auch. Umgekehrt nicht.
Trage ich in die Startseite ***google.de ein, läuft alles normal. Nach erneutem Aufruf eines Browsers (ausser Opera) lande ich bei MSN.
Werde in Zukunft wohl bei Opera bleiben, doch ich möchte diesen Quälgeist loswerden.
Wünsche schöne Pfingsttage

Gruß
Hubble

So !
Weg ist er. Falls es noch jemanden interessiert, schildere ich, wie es geklappt hat.
Eigentlich einfach. Ich habe XP im abgesicherten Modus gestartet. Klappte erst, nachdem ich eine Kabeltastatur angeschlossen hatte. Die kabellose war erst einsatzbereit, als Windows schon normal gestartet war. Danach habe ich Adaware, Spybot,
CW Shredder,Antivirensoftware und Spywareblaster drübergejagt. Letzteres Programm zeigte, daß der Hijacker noch da war. Der Shredder von Steganos hat aber die eigentliche Aufgabe erfüllt. Was er im normalen Betrieb nicht zu löschen vermochte, schaffte er im abgesicherten Modus.
Und bis jetzt (240 min.after) noch keinen Hinweis auf Hijacker.

was ist den das für eine kabellose tastatur?
will's echt wissen, damit ich sowas nie in den Händen halten muß.

Oder ist es eine USB-Tastatur und DU hast im CMOS (BIOS) nicht USB-Tastatur enabled?

Hähä,

ist Logitech cordless Desktop i-Touch. Gabs zusammen mit optical Mouse. Ist sehr praktisch, kann sogar vom Klo aus weitertippen.
Aber ich danke schonmal für den Tip mit dem Bios. Werde das mal tschekn.

Großes Lob an dich Shadow. Der Hinweis auf das Bios war ein Volltreffer. Habe Keyboard und Mouse im Bios aktiviert und siehe: Ich kann sogar den abgesicherten Modus starten. Klasse

Ich verstehe nur nicht, warum ich das Bios aufrufen konnte, der abgesicherte Modus mit F8 aber versagte. Aber ist nicht so wichtig.
Danke nochmals.
Hubble

</font><blockquote>Zitat:</font><hr />Original erstellt von Hubble:
kann sogar vom Klo aus weitertippen.
</font>[/QUOTE]
</font><blockquote>Zitat:</font><hr />Original erstellt von Hubble:
Der Hinweis auf das Bios war ein Volltreffer.</font>[/QUOTE]Für irgendwas muss ein Schatten ja gut sein