Probleme mit Startseite im IE

Nanni · 26.10.2005, 00:11

Hallo,

meine Startseite im IE wird auf eine unerwuenschte umgeleitet. Wuerdet Ihr bitte mal folgendes Hijackthis-Logfile pruefen. Vielen Dank...

Logfile of HijackThis v1.99.1
Scan saved at 6:51:20 PM, on 10/25/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\AGRSMMSG.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\svchop.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Hijak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINNT\system32\shdochop.dll/defaultASX.htm#privacy_API;
O1 - Hosts: 53.79.25.182 S10ZGDOK s10zgdok
O1 - Hosts: 53.215.35.100 ***SERV
O1 - Hosts: 53.215.35.101 ***1
O1 - Hosts: 53.215.35.102 ***2
O1 - Hosts: 53.215.35.103 ***3
O1 - Hosts: 53.215.35.104 ***4
O1 - Hosts: 53.215.35.105 ***5
O1 - Hosts: 53.215.35.106 ***6
O1 - Hosts: 53.215.35.107 ***7
O1 - Hosts: 53.215.35.108 ***8
O1 - Hosts: 53.215.35.109 ***9
O1 - Hosts: 53.215.35.14 saud001
O1 - Hosts: 53.215.35.15 saud001
O1 - Hosts: 53.215.35.97 hp1050
O1 - Hosts: 53.124.120.117 swanserver
O1 - Hosts: 53.215.35.101 rshb62cf ***1usa
O1 - Hosts: 53.215.35.102 ***2usa
O1 - Hosts: 53.215.35.103 ***3usa
O1 - Hosts: 53.215.35.104 ***4usa
O1 - Hosts: 53.215.35.105 ***5usa
O1 - Hosts: 53.215.35.106 ***6usa
O1 - Hosts: 53.215.35.107 ***7usa
O1 - Hosts: 53.215.35.108 ***8usa
O1 - Hosts: 53.215.35.109 ***9usa
O1 - Hosts: 53.215.36.155 steer1 # ** Steering workstation
O1 - Hosts: 148.99.50.243 hp5000
O1 - Hosts: 53.215.35.90 hp4l
O1 - Hosts: 148.99.50.73 barney
O1 - Hosts: 53.79.202.243 snc322
O1 - Hosts: 53.249.189.141 debisusa1
O1 - Hosts: 53.113.1.2 gisnfz sd4
O1 - Hosts: 152.116.150.72 S69FFS11 #Portland CRM Machine
O1 - Hosts: 53.79.25.51 GFNE01 #GFN WINC Server
O1 - Hosts: 141.113.1.2 SD4 sd4 MVS mvs gisnfz GISNFZ GISHOST gishost #GIS
O1 - Hosts: 141.113.1.3 s3n
O1 - Hosts: 141.113.1.1 sa1
O1 - Hosts: 53.64.250.1 rrzsy1r1
O1 - Hosts: 53.118.15.225 smaschul03
O1 - Hosts: 53.118.15.221 smaconf01
O1 - Hosts: 53.118.15.231 smanfs01
O1 - Hosts: 53.249.189.142 debisusa2
O1 - Hosts: 53.215.35.14 saud001
O1 - Hosts: 53.215.35.15 saud001b
O1 - Hosts: 53.72.26.47 sagu001
O1 - Hosts: 53.72.26.48 sagu001a
O1 - Hosts: 53.72.26.49 sagu001b
O1 - Hosts: 53.72.26.34 scgu001
O1 - Hosts: 53.72.26.35 scgu001a
O1 - Hosts: 53.72.26.36 scgu001b
O1 - Hosts: 53.124.173.68 syl1120
O1 - Hosts: 53.124.173.35 syra1727
O1 - Hosts: 53.124.173.15 syra1725
O1 - Hosts: 53.124.173.19 syra1726
O1 - Hosts: 53.215.35.100 ***serv #UNIX file server for ***
O1 - Hosts: 53.216.1.15 sta1
O1 - Hosts: 53.216.1.16 sta2
O1 - Hosts: 53.215.35.67 Nile
O1 - Hosts: 53.113.75.66
O1 - Hosts: 53.79.25.182
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Program Files\Google\Google Desktop Search\GoogleDesktopIE.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [RUNWALL] C:\IBMTOOLS\APPS\PREWALL\setup.exe -s -SMS
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FH] C:\WINNT\system32\svchop.exe home
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.********.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.********.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.********.com
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe

dartus · 26.10.2005, 08:48

Hallo Nanni,

lade Dir Hoster .

Wechsel in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINNT\system32\shdochop.dll/defaultASX.htm#privacy_API;
Alle "01"-Einträge
O4 - HKLM\..\Run: [FH] C:\WINNT\system32\svchop.exe home
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Manuell löschen (Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken):

C:\WINNT\system32\shdochop.dll
C:\WINNT\system32\svchop.exe
C:\WINNT\web\related.htm

Starte den Hoster --> "Restore Original Hosts" --> Ok

Neustart --> Neues Logfile

dartus

Nanni · 26.10.2005, 11:56

Hallo Dartus,

vielen Dank erstmal. Du hast geschrieben, das ich alle 01-Eintraege loeschen soll. Werden da Profile der eingetragenen Hosts geloescht bzw. koenntest Du mir kurz erklaeren, warum diese Eintraege geloescht werden sollen. Zur Info: ich arbeite mit einem Firmenlaptop und moechte nicht unbedingt "fremde" Profile entfernen.

Ciao

dartus · 26.10.2005, 12:10

Hallo Nanni,

bitte wende Dich an den zuständigen EDV-Fachmann/Administrator in Deiner Firma und beachte meine Anweisungen nicht.

dartus

cronos · 26.10.2005, 12:12

@ nanni

In diesem Fall belasse die Host-Datei so wie sie ist.Die Einträge sind in deinem Fall auch nicht schlecht, sondern wohl auch gewollt.
Auf einem Privat-PC sind Einträge in der Host-Datei oft schlecht, da sie u.a. Anfragen auf bestimmte Seiten umleiten oder aber Anfragen, z.b: auf Seiten von Antivirenprogrammherstellern verhindern

Nanni · 26.10.2005, 13:02

Hallo Cronos,
also Host-Eintraege belassen und ansonsten so verfahren, wie Dartus geschrieben hat?

cronos · 26.10.2005, 17:06

Das Problem ist, dass das kein Privatrechner ist, sondern ein Firmenrechner.Da sind wir eigentlich nicht zuständig.

Nanni · 26.10.2005, 18:13

Bedeutet das, dass die Durchfuehrung der Anweisungen von Dartus bei meinem Problem nicht in Ordnung ist?

cronos · 26.10.2005, 18:17

Die Ausführungen von Dartus sind OK, bis auf das Löschen der Einträge in der Host-Datei, die sind OK!
Das ändert aber nichts an der Tatsache, dass eure EDV eigentlich für den Rechner verantwortlich ist, da der Rechner ja das Eigentum deiner Firma ist.

Probleme mit Startseite im IE

Log-Analyse und Auswertung: Probleme mit Startseite im IE