Veränderte Startseite www.heterofind.com

pille pitt · 20.08.2004, 15:30

Hallo,
wie so viele habe ich ein Problem mit einer veränderten Startseite!

Mein Internet explorer schickt mich immer auf: mk:@MSITStore:C:\spe\start.chm::/start.html#

Bis jetzt hat alles versagt: adavare 6, hjackthis, spybot search & destroy, cws shradder und auch SpHjfix, AntiVir und SpywareBlaster!

Hier ein scan mit hjackthis:

Logfile of HijackThis v1.97.7
Scan saved at 16:27:40, on 20.8.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
E:\Programs\AntiVir\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\DOKUME~1\Tim\LOKALE~1\Temp\mwavscan.com
D:\DOKUME~1\Tim\LOKALE~1\Temp\kavss.exe
D:\Programme\Internet Explorer\iexplore.exe
E:\Programs\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=
O17 - HKLM\System\CCS\Services\Tcpip\..\{678F8473-0D27-432F-9D2E-F4597737BD5E}: NameServer = 192.168.1.1

Bin für jede Hilfe Dankbar!

war einfach zu einfach!
mk:@MSITStore:C:\spe\start.chm::/start.html#
hier lässt sich ablesen wo der bösewicht steckt:
C:\spe\start.chm::/start.html#

euerjunkie · 22.08.2004, 18:39

Hallo,

habe auch probleme mit diesem Browserhijacker...
Hier mein Logfile!
Habe schon vieles probiert, aber nix hilft! Norton Anti Virus, Spybot,Adaware,Pestpatrol,
Jedes mal ist der Ordner auf C: wieder da!
Wer kann helfen?

Logfile of HijackThis v1.97.7
Scan saved at 19:27:25, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe

C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Widcomm\Bluetooth Software\BTTray.exe
C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klinzmann\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.fortytwo.uni-oldenburg.de:3128

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Startup: CoolMon.lnk = C:\Programme\CoolMon\CoolMon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html

O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/25f99a28d98cfb3...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...033.4671527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab

Cidre · 22.08.2004, 18:47

Zitat:

Logfile of HijackThis v1.97.7

Poste bitte nochmal ein neues Log-File, da diese HijackThis Version veraltert ist.
http://www.trojaner-board.de/51130-a...ijackthis.html

Rene-gad · 22.08.2004, 20:21

Hallo

Zitat:

Zitat von pille pitt

Logfile of HijackThis v1.97.7

Bitte die aktuelle Version benutzen

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Bitte Windows Updaten.
Alles Weiteres kommt danach

Rene-gad · 22.08.2004, 20:25

Hallo

Zitat:

...vvv.heretofind.com...

....und diesen Thread durcharbeiten: http://www.trojaner-board.com/showth...ght=heretofind

Zepelin · 25.08.2004, 11:42

Hallo

Mein Internetexplorer bringt mich immer auf die Seite : C:\spe\start.chm::/start.html#

wie komme ich davon wieder los????
Selbst durch ändern der Startseite ist es nicht möglich.

Bitte ausfürlich antworten.

Danke
Zepelin

Nightwolf1979 · 25.08.2004, 16:00

Halo Leute es ist mehr als nur einfach diesen scheiss weg zu bekommen.

Auf der Festplatte C: befindet sich ein Ordner C:\spa einfach löschen in Ihm befindet sich die Datei start sie ist verantwortlich.

Also löscht den schrott und alles geht wieder.

CU :aplaus:

25.08.2004, 19:14

So leicht wird es wohl nicht gehen ...

@Zepelin
Poste bitte einmal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Zepelin · 26.08.2004, 12:15

Hallo

Ich danke Euch recht herzlich. Ich habe den Ordner spe gelöscht uns schon läuft wieder alles.

Es war echt nervig immer die Seite zu sehen wenn man ins Internet möchte.

Also nochmals Danke

Gruß, der glückliche

ZEPELIN

PS: Ich hoffe das ich mir nicht so schnell wieder so ein Scheiß einfange ! ! ! !

Nightwolf1979 · 27.08.2004, 10:32

An Christian

doch es geht so leicht.

Danach kannst du dann auch in Ruhe mit HijackThis alles Löschen was du willst und es kommt auch nicht mehr wieder.
Versuch es und du wirst es sehen.
Bei mir und den anderen geht es doch auch.

27.08.2004, 16:54

Wenn du nur diesen Ordner löschst, dann bleiben jedoch die Registry-Einträge stehen.

HijackThis wirst du auch weiterhin benötigen.

Nightwolf1979 · 28.08.2004, 11:15

Das ist richtig habe ich ja auch geschrieben das man es nochmals mit den zusatzprogrammen untersuchen soll. Aber ohne Löschen des Ordners kannst du machen was du willst dann hilft dir nichts.
Ganz einfach

Sorry aber manchmal ist eine einfache Lösung auch die richtige

28.08.2004, 18:56

Naja .... die Registry gehört gesäubert - sonst wäre es nur eine Teillösung ...
Aber das hast du ja auch richtig erkannt.

25.08.2004, 19:14	#8
Christian Gast	Veränderte Startseite www.heterofind.com So leicht wird es wohl nicht gehen ... @Zepelin Poste bitte einmal ein HijackThis-Log: http://filepony.de/download-hijackthis/

27.08.2004, 16:54	#11
Christian Gast	Veränderte Startseite www.heterofind.com Wenn du nur diesen Ordner löschst, dann bleiben jedoch die Registry-Einträge stehen. HijackThis wirst du auch weiterhin benötigen.

28.08.2004, 18:56	#13
Christian Gast	Veränderte Startseite www.heterofind.com Naja .... die Registry gehört gesäubert - sonst wäre es nur eine Teillösung ... Aber das hast du ja auch richtig erkannt.

Veränderte Startseite www.heterofind.com

Plagegeister aller Art und deren Bekämpfung: Veränderte Startseite www.heterofind.com