Trojaner-Board - Wie bekomme ich meine Startseite zurück?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Wie bekomme ich meine Startseite zurück? (https://www.trojaner-board.de/6769-bekomme-startseite-zurueck.html)

Wie bekomme ich meine Startseite zurück?

Hi!
Seit einiger Zeit habe ich das Problem,dass meine Startseite immer über http://mysearchnow.com/passthrough/i...://about:blank umgeleitet wird. Außerdem öffnet sich ein Such-Tool unten an der Menü leiste und oben im Fenster. Ich benutze Spybot,CWShredder,Adaware,Hijack This und eScan,tortzdem besteht das Problem immer noch.

Logfile of HijackThis v1.98.0
Scan saved at 13:10:26, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
D:\Programme\AVGUARD.EXE
D:\Programme\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Stella\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Stella\LOKALE~1\Temp\kavss.exe
D:\eMule.de\emule.exe
C:\Programme\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.837001_XP_SP2_WinSE_84421\WindowsXP-KB837001-x86-DEU.EXE
d:\4db120609b2860d2753932b62f0f\xpsp1hfm.exe
d:\4db120609b2860d2753932b62f0f\sp2\update\update.exe
C:\WINDOWS\System32\notepad.exe
C:\Dokumente und Einstellungen\Stella\Eigene Dateien\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/i...://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.teshadcryhebavpa.net/AkiM...NDrnqD6zH.html
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [FirstMp3] C:\PROGRA~1\JUGSTY~1\Longviewcurb.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

Ich habe alles,was angezeigt wurde gelöscht bis auf msn und icq (ich habe schon beides mal gelöscht,es hat nix gebracht),trotzdem besteht das Problem nach jedem Start erneut.
eScan hat mir keine Viren angezeigt,trotzdem steht im Log ,dass Viren gefunden wurden,oder versteh ich da etwas falsch? Ich kenne mich mit eScan nicht aus! Kann mir jemand helfen?
MfG
Stella

Fixe im angesicherten Modus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.teshadcryhebavpa.

Dies:

O4 - HKLM\..\Run: [FirstMp3] C:\PROGRA~1\JUGSTY~1\Longviewcurb.exe

sagt mir nix, ist das etwas, was du installiert hast? Eventuell ein MP3-Player mit Spyware, ist aber nur geraten. Falls dies nicht von dir installiert wurde, deinstallieren und fixen.

Was genau steht denn im Log, welche Viren wurden gefunden? Poste doch einfach mal den Abschlussbericht.

Fixe mit dem HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/...p://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.teshadcryhebavpa.net/Aki...RNDrnqD6zH.html
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [FirstMp3] C:\PROGRA~1\JUGSTY~1\Longviewcurb.exe

NEUSTARTEN

Gehe mit dem (vorher geupdateten) Antivirus in den abgesicherten Modus, stelle ein <Heuristik:hoch< und <alle Dateien scannen< und mache einen Komplettscann und dann starte neu.

Dann lade AdAware und scanne ebenfalls <alle Dateien<
http://www.rokop-security.de/main/article.php?sid=703

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Dann stelle unter <Internetoptionen< eine neue Startseite ein .

mfg
Sabina

@ MountainKing ich habe mich mit den Viren geirrt,es waren doch keine im eScan

Das hat alles nix gebracht! Und jetzt kann ich nicht mehr fixen!

Logfile of HijackThis v1.98.0
Scan saved at 20:37:20, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
D:\Programme\AVGUARD.EXE
D:\Programme\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Stella\Eigene Dateien\Programme\BitTorrent++\BT++.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Stella\Eigene Dateien\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-board.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gmvhiidcrigjzrcytrb.com/A...RNDrnqD6zH.jsp
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [FirstMp3] C:\PROGRA~1\JUGSTY~1\Longviewcurb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

Was soll ich tun?

Was heisst du kannst nicht mehr fixen? Dein Log ist soweit FAST sauber, du musst noch

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gmvhiidcrigjzrcyt
O4 - HKLM\..\Run: [FirstMp3] C:\PROGRA~1\JUGSTY~1\Longviewcurb.exe

fixen. Geht es denn auch im abgesicherten Modus nicht mehr?

Selbst im abgesicherten Modus geht es nicht. Es kommt folgende Meldung:
An unexpected error has occuced at producere: cmdFix_click()
Error#75-Path/File access error (8items in result list)
Danach kommt die Bitte,an eine email addresse zu schreiben wann der Fehler auftrat und was ich dabei gemacht habe,wenn möglich auch den Log zu schicken. (ich habe bisher noch nichts gemailt)

Soll ich versuchen HijackThis neu herunterzuladen,ob es dann geht?

Ja, probiere es noch einmal herunterzuladen und/oder in ein anderes Verzeichnis zu entpacken. Falls das nichr klappt, könntest du eine andere, ältere Version probieren, die 1.98 oder so.

Ich kanns gar nciht glauben,ich habs geschafft! Nachdem ich mir die neueste Version von HiJackThis runtergeladen habe und die Backups gelöscht hab, ist meine Startseite befreit! Vielen Dank für eure Hilfe,ganz besonders für die von MountainKing! Hier mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:27:40, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\AVGUARD.EXE
D:\Programme\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Stella\Eigene Dateien\Programme\hIjACHtHIS NEU\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

Ah, du hattest schon die 1.98. sorry. Naja, zumindest gabs ja ein Happy End. :) Kleiner Tip für die Zukunft: einen sichereren und besseren Alternativbrowser verwenden wie firefox oder opera, letzteren gibt es auch mit IE-Setup, so dass der Umstieg leichter fällt. Aktive Inhalte wie Java-Script sollten deaktiviert und nur auf definitiv sicheren Seiten im Zweifelsfall eingeschaltet werden. Software/Shareware möglichst nur von bekannten Seiten herunterladen (chip.de beispielsweise) um Spy/Adaware weitgehend auszuschließen.