Supportnet Computer
Planet of Tech

Supportnet / Forum / Internet Browser

Startseite im Internet-Explorer durch Einwahlprogramm verändert?





Frage

Hallo, vor einigen Tagen war ich im Urlaub in Frankreich. Um mich dort online zu begeben, musste ich ein Providereinwahlprogramm von Orange/Wanadoo installieren. Hat auch alles geklappt - daheim angekommen, habe ich das Ganze deinstalliert und kann auch wieder online gehen, allerdings mit einer veränderten Internet-Explorer-Startseite. Nun habe ich zwei Vermutungen: a) Die Orange/Wanadoo-Geschichte ist für die Änderung zuständig b) Im Urlaub habe ich aus Versehen (Maus verrutscht) eine Spam-Mail geöffnet - könnte ich mir damit etwas geholt haben, das das Ganze verantwortet? Genaue Problemlage: Meine Startseite im IE ist http://go.microsoft.com/fwlink/?LinkId=69157 (wird nach wenigen Sekunden umgeleitet zu http://de.msn.com/) Sie lässt sich nicht über Extras-Internetoptionen-Startseite verändern. Auch die Browser-Erweiterung von Drittanbietern ist deaktiviert. Ebensowenig kann ich in der Registry die Start Page verändern - obwohl ich sie neu überschreibe, ist sie nach Neuaufruf wieder dieselbe. Ad-Aware und Spybot finden nichts, was auf das Problem hinweist.Im Mozilla Firefox kann ich die Seite mühelos verändern (deswegen meine Vermutung, dass es kein "allgemeiner Trojaner" ist, sondern mit dem Orange/Wanadoo zusammenhängt - sonst würde sich der Trojaner doch auch hier bemerkbar machen, oder?). Ich habe auch nach der Deinstallation des französischen Programms noch einen Ordner im Programme-Ordner (allerdings nicht deinstallierbar), der Wanadoo heißt und diverse Ordner, die mit dem IE verknüpft sind (unter anderem scheinen meine Favoriten übertragen worden zu sein), enthält. Unter anderem ist dort auch eine install.log file, deren letzte Zeilen ich mal hier poste: RegDB Key: software\InstallationKit RegDB Val: C:\PROGRA~1\WANADOO\SAFEIN~1 RegDB Name: CheminExe RegDB Root: 2 RegDB Key: software\InstallationKit RegDB Val: C:\Programme\Wanadoo\SafeInstall\KITWAN~2.EXE RegDB Name: NomExe RegDB Root: 2 RegDB Key: software\InstallationKit RegDB Val: Orange RegDB Name: UninstApp RegDB Root: 2 User Rights: Admin

Antwort 1 von Podrez

Nachtrag wegen Zeichenüberschreitung:

HiJack: (Teil 1)
Logfile of HijackThis v1.99.1
Scan saved at 14:37:22, on 30.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\3D-Relax\Living Marine Aquarium 2.0 trial\trioService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijack\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

Antwort 2 von Podrez

HiJack Teil 2


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://bvba2.bib-bvb.de/V/2QS7STXIVY7MVRQTHLBV755CFPY92DX7KPY6VCB73XPBPDJK9I-00563? func=full-service-sfx&doc_number=000167036&line_number=0000&service_type=REC&P04=0000
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [trioService] "C:\Programme\3D-Relax\Living Marine Aquarium 2.0 trial\trioService.exe "
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - ?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2AAD4BD-4E42-4D73-8A01-9E430582D822}: NameServer = 192.168.2.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Die R0 mit dem problematischen Link lässt sich leider nicht fixen/taucht gleich wieder auf, sobald sie gelöscht wurde. Ich hoffe, ihr könnt mir weiterhelfen? Bzw auch sagen, ob das etwas Schlimmeres sein könnte als nur die Veränderung der Startseite? Ich benutze solange Mozilla....

vielen Dank im Voraus, Peter

Antwort 3 von Road-Runner

Hallo,

eine Auswertung Deines Logfile bei www.hijackthis.de hat folgendes Ergebnis gezeigt:

O8 - Extra context menu item: &Search - ?p=ZNfox000

Der Eintrag &Search wurde als schädlich erkannt.

Ich denke, dass Du den mal fixen solltest.

Deine URL http://go.microsoft.com/fwlink/?LinkId=69157 wird bei mir auch automatisch zu http://de.msn.com/ umgeleitet. Ich inerpretiere das fwlink in der URL als forward link (Link weiterleiten) zur LinkID 69157 und denke, dass das von MS so gewollt ist.

Gruss

Road-Runner

Antwort 4 von Podrez

Hallo,

ich habe den Eintrag gefixt - das Problem bleibt allerdings,

Gruß
Peter

Antwort 5 von Road-Runner

Hallo,

Zitat:
Ich habe auch nach der Deinstallation des französischen Programms noch einen Ordner im Programme-Ordner (allerdings nicht deinstallierbar), der Wanadoo heißt und diverse Ordner, die mit dem IE verknüpft sind (unter anderem scheinen meine Favoriten übertragen worden zu sein), enthält.


Kannst Du diesen Ordner auch nicht im abgesicherten Modus löschen?

Dann versuche es mal mit Unlocker

Gruss

Road-Runner

Antwort 6 von Podrez

Im abgesicherten Modus konnte ich in der Registry die Startseite umändern - die bleibt nun auch. Den Wanadoo-Ordner kann ich aber nicht löschen, es kommt immer eine Fehlermeldung, dass die Syntax ungültig ist. AUch mit Unlocker funktioniert e nicht. Dazu wird mir angezeigt, dass der Ordner 85 GB groß ist, obwohl meine Festplatte nur 40 GB umfasst.
Außerdem hat ein Freund letztens etwas mit dem IE bei amazon bestellt. Nun mache ich mir Sorgen, dass ich einen Trojaner haben könnte, der meine Daten/Kontoverbindung ausspioniert. Was soll ich tun?

Vielen Dank im Voraus,
Peter

Antwort 7 von Road-Runner

Hallo,

versuche mal, den Rechner im abgesicherten Modus zu starten und dann den Ordner (eventuell mit unlocker) zu löschen.

Zum eventuellen Trojaner:

Scanne Dein System mal mit Deinem Antivirusprogramm, sowie mit Spybot Search & Destroy und a-squared free.

Ein Scannen mit HijackThis und ein Auswerten des Logfile auf der verlinkten Seite kann auch nicht schaden.

Gruss

Road-Runner

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: