Supportnet / Forum / WindowsXP

Hilfeeee!!!! Unser PC (Windows XP Pro sp1) hat im Internet Explorer immer die Startseite "http://www.nonstopsearch.com" drin. Wenn ich diese in den Internetexplorer Eigenschaften ändere, sage übernehmen und die Eigenschaften schliesse und wieder öffne, ist die Startseite bereits wieder gändert auf "nonstopsearch! Ich habe bereits jeden aktiven Prozess überprüft, sollte nichts schädliches laufen. Und ESCAN habe ich bereits ausgeführt und dieser hat ein paar dll´s gefunden, welche ich aber auch eliminiert habe. Ich weiss nicht mehr weiter, wer kann mir helfen??!!!!

Hi,

sieht nach Worm/Startpage o.ä. aus. Lad Dir mal A2 und Hijackthis und lass mal durchlaufen. Du hast bestimmt nen kleinen Freund, der Dir durch nen regeintrag o.ä. nen Strich durch die Rechnungmacht.

VG
HE

schalte die systemwiderherstellung ab.
lass adaware und hijackthis laufen.

vadder

hijackthis bekommst du hier:

http://www.hijackthis.de/

und adaware dort:

http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10...

viel spaß ;-)

so long,

BatBuster

Teil 1

Logfile of HijackThis v1.97.7
Scan saved at 12:18:46, on 01.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammeGemeinsame DateienSymantec SharedccSetMgr.exe
C:ProgrammeGemeinsame DateienSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1SymantecNORTON~1GHOSTS~2.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSExplorer.EXE
C:ProgrammeQuickTimeqttask.exe
C:ProgrammeGemeinsame DateienSymantec SharedccApp.exe
C:ProgrammeGemeinsame DateienMicrosoft SharedWorks SharedWkUFind.exe
C:ProgrammeMSN AppsUpdater

Teil 2

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammeQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [ccApp] "C:ProgrammeGemeinsame DateienSymantec SharedccApp.exe"
O4 - HKLM..Run: [Microsoft Works Update Detection] C:ProgrammeGemeinsame DateienMicrosoft SharedWorks SharedWkUFind.exe
O4 - HKLM..Run: [msnappau] "C:ProgrammeMSN AppsUpdater

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://nonstopsearch.com/?a=2
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://nonstopsearch.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://nonstopsearch.com/?a=2
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://default.home
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://nonstopsearch.com/?a=2
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://nonstopsearch.com/?a=2
R3 - URLSearchHook: (no name) - {BAD9883E-26FA-375D-6821-DCD2DA6503E2} - C:WINDOWSsystem32libwaco.exe (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammeAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:ProgrammeMSN AppsST

Hey, bringe das ganze Log nicht hier rein, was soll ich machen!`?????

Also, so:

Ganzes Log unter:
http://www.burgweb.ch/log.htm
zu besichtigen!

Wer kann mir weiterhelfen?

moin

auf http://www.hijackthis.de/ kannste dein log eingeben und es wird ausgewertet. im normalfall kannste alles was böse und evtl. böse ist löschen, solange du es nicht selbst installiert hast.

g,
disco

hallo

Nun habe ich alles mit HiJack geprüft und alles was nicht gut war, habe ich gefixt und eine Datei auch manuell gelöscht. Nun sind aber zwei bösartige Einträge immer und immer wieder vohanden.

HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://default.home

O4 - HKLM..Run: [msnappau] "C:ProgrammeMSN AppsUpdater

Uäää, schon wieder hat es mir nur den
halben Eintrag angezeigt!!!!

Neustes Log von Hijack:
http://www.burgweb.ch/log.htm

Der Fehler besteht immernoch!

führ win mal im abgesicherten modus aus und mach dann den hijackthis kram nochmal. ansonsten probier auch mal ad-ware aus.

Hallo!

Ich habe es nun herausgefunden... es war der Starteintrage ad-watch.exe. Sollto doch eigentlich ein Lavasoft Programm sein ???

Naja, auf jeden fall war dies der Störefried!!!!

Merci für eure Hilfe, habt mir geholfen!!!!!

Grüessli
Martina

Hi,

Ad Aware SE hast du dir ja wohl schon geladen (A3)
such zusätzlich mit google o.ä. nach Spybot SD 1.3 und dem CWShredder.

Systemwiederherstellung deaktivieren.

alle Temporären Ordner und den Prefetch Ordner leeren, Cookies löschen.

Im Internet Explorer die Starseite ändern

Neustart im abgesicherten Modus



Ich arbeite nicht mit Works, kannst du dieses Programm zuordnen? Wenn nicht weg damit.



Das du die fixen musst siehst du wohl selbst.



Ich habe auch Adaware SE, da gibt es im entsprechenden Ordner keine Ad-Watch.Exe

Lass nun adaware, Spybot SD und den CWShredder laufen.
Neustart im abgesicherten.

Das Ganze nochmal.
HiJack this
Adaware
Spybot
CWShredder

Neustarten und Systemwiederherstellung wieder aktiveren.
Sollte nun wieder laufen.

Gruß Anno

Rückmeldung wäre nett

ups,
zu spät.

Vielleicht kann es jemand anderes brauchen. Das Verfahren funktioniert bei den meisten HiJackern.

Gruß Anno

Rückmeldung wäre nett

Hallo Anno

Trotzdem merci für dein Feedback und deine Mühe! Die heutzutagigen Viren machen uns ech das Leben schwer....
Also sind wir sicher nächsten mal wieder auf deine Hilfe Angewiesen!!

Grüessli
Martina

• favourlinks.com
• Beim hochfahren des PC läd sich eine ungewollte Startseite.Was kann ich tun?
• bekomme keine google startseite mehr....
• Ist Favoor.com down ? Kommt es wieder ?
• internetstartseite