Hi @ll

Ich habn prob (sons wär ich ja net hier..)
auf jedenfall nach dem besuch von der Seite astalavista wechselte meine suchseite auf Search for....

in der Adressleiste steht about:blank... also garkeine seite..

wechsel ich nun meine Startseite zum Beispiel auf google oder so dann ist beim nächstem Explorer start wieder diese däml.... Suchseite drinn.

Weiß einer was ich dagegen machen kann?

Lade mal unter:

http://www.safer-networking.org/index.php?page=download

die Software: Spybot Search and Destroy runter und lasse die durchlaufen, danach Startseite einrichten und dann sollte das laufen.

Gruß
Michael

Falls der Spybot das Prob. nicht behebt:

Du musst dieses Tool laden, scannen, das Log mit der Maus kopieren und dann hier ins Forum setzen, denn dein Comp. ist mit Hijackern und Viren verseucht, welche die Startseite "umleiten"
Durch das Log im Forum, kann ich dir sagen, wer der "Uebeltaeter" ist.

http://board.protecus.de/showtopic.php?threadid=9391

So koennen wir dir helfen, den Comp. sauber zu bekommen.
------------------------------------------------------------------------------------------------------------


Inzwischen kannst du schon diese Programme laden und scannen \saeubern.

0) Search&Destroy...aktualisieren !
http://www.safer-networking.org/index.php?page=download

1) AdAware laden, updaten (aktualisieren) und scannen.(suche dir free-version)
http://www.lavasoft.de/support/download/

2)...Und von dieser Seite laedst du den CWShredder und scannst ebenfalls deinen Comp.
http://board.protecus.de/showtopic.php? ... 810209853b

3...Dann laedst du dieses Tool und scannst ebenfalls(save to disc.....dann laden....dann die mwav.exe suchen....scannen
http://www.soft411.com/company/MicroWor ... oolkit.htm

Nun muesste alles sauber sein....wie gesagt, ich brauche dein Log vom HijackThis, um das absolut sagen zu koennen.

4)...Nun laedst du ClearProg und saeuberst deinen IE
http://www.clearprog.de/

5)..Dann stellst du unter Internet-Optionen die Startseite neu ein.

6.)...Zum Schluss laedst du als Zweitbrowser den Firefox.....ist viel sicherer und schneller.
Die SicherheitsUpdates fuer den IE 6 SP1 musst du aber trotzdem immer machen.
http://firebird.stw.uni-duisburg.de/windows.php

7) OnlineScann mit Pestpatrol
http://www.pestscan.com/Scan.asp




Warte auf dein Log!!!
MfG
Nikita

THX @euch...



Das Spybot Prog hat geholfen..

correctur doch noch net also Mal an nikitas link gehen...

Hab durch das Prog den übeltäter gefunden das is die Datei eemei.dll im C:\WINDOWS\system32 Verzeichniss
brauch Windows die oder kann ich die nun löschen?? oder was muss ich tun?

eigentlich wollte ich ja dein Log sehen (HijackThis)
Aber da du es nicht postest, fische ich im Trueben.


Du musst dieses Tool laden, scannen, das Log mit der Maus kopieren und dann hier ins Forum setzen, denn dein Comp. ist mit Hijackern und Viren verseucht, welche die Startseite "umleiten"
Durch das Log im Forum, kann ich dir sagen, wer der "Uebeltaeter" ist.

Natuerlich musst du diese DLL loeschen.

Falls du das Log postest, sehe ich es mir morgen an.

Nikita

Logfile of HijackThis v1.97.7
Scan saved at 18:34:43, on 05.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\mIRC\mirc.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Martin\Desktop\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {4353A67A-EFCB-4207-9E8B-80EE29545955} - C:\WINDOWS\System32\eemei.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Wecker für Windows 6.lnk = C:\Programme\Wecker6\Wecker.exe
O9 - Extra button: Wecker-Alarm (HKLM)
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Du laesst den HijackThis noch einmal scannen, dann waehlst du<fix< und fixt genau was ich poste:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eemei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {4353A67A-EFCB-4207-9E8B-80EE29545955} - C:\WINDOWS\System32\eemei.dll


NEUSTARTEN


Dann scannst du mit AdAware, Spybot,C-scanner(MWAV.EXE), und machst den Online-Scann mit PestPatrol.

Falls die Dll nicht beseitigt wird, suchst du sie und loescht manuell.
In diesem Fall muss du auch :
{4353A67A-EFCB-4207-9E8B-80EE29545955}
auch in der Registry loeschen .
Start<Ausfuehren<regedit.......diesen Eintrag suchen und loeschen.


Dann saeuberst du mit ClearProg deinen IE und stellst unter InternetOptionen die Startseite neu ein.

Dann laedst du den Firefox(als Zweitbrowser)
.....so wirst du dieses Problem nicht mehr haben .

http://www.firebird-browser.de/

Falls die Dll nicht weggeht, schreibe, dann mussen wir noch andere Geschuetze auffahren.
(tip: wenn du AdAwatre und Search&Destroy geladen hast, musst du vor dem Scannen die Tool updaten , denn wenn sie nicht aktualisiert sind, erkennen sie unter Umstaenden die Malware nicht.

MfG
Nikita

:D

in hijackthis1977 is ein trojaner drinnn gewesen...

WAAAAAAAAAAAAAAAS?
erklaere das bitte genauer, dieses HijackThis ist von einer ofiziellen Protectus-Forum -Seite .
Das kann ich garnicht glauben.
Welcher Trojaner ist es denn ?
Dein Log hat auch keien Trojaner angezeigt, nur den SiteHijacker.
Du machst Spass...aber einen schlechten..oder?
MfG
Nikita

das Hackit was ich von deinem Link geladaen hab der ordner heißt entpackt Hackit1977
und da hat Antivir einen trojaner festgestellt

Wie heisst denn der Trojaner?
Danke
Nikita

lol der war in dem von dem Programm gemachtem Backup drinn:

C:\DOKUMENTE UND EINSTELLUNGEN\MARTIN\DESKTOP\HIJACKTHIS1977\BACKUP-20040506-141245-244.DLL
[INFO] Die Datei wurde gelöscht!

Hey!
Ich habe dasselbe Problem. Die FALSCHE Startseite ist bei mir irgendwas mit go.targetsearch......

Mein LOG:

Logfile of HijackThis v1.97.7
Scan saved at 22:29:15, on 06.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://go.targetsearch.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://targetsearch.info/left.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://targetsearch.info/left.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.targetsearch.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://targetsearch.info/left.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://go.targetsearch.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.targetsearch.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://targetsearch.info/left.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://targetsearch.info/left.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://targetsearch.info/left.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://targetsearch.info/left.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6076A72E-0BB9-421F-8208-C8D29FD02E12}: NameServer = 62.104.191.241 62.104.196.134


Würde mcich freuen, wenn mir jemand helfen würde!

Vielen Dank.

Jan.