Hallo zusammen,

ich habe folgendes Problem: die von Internet Explorer angezeigte Startseite (about:blank) lässt sich nicht mehr ändern, bzw. wird nach jeder neuen Eingabe die Startseite wieder dahin zurück versetzt.
Ich habe Hijack This den PC überprüfen lassen und einige der Einträge, die ich dafür verantworltlich mache, gelöscht. Die Einträge kommen allerdings immer wieder zurück. Vielleicht kann jemand von euch mir dabei weiterhelfen? Ich wär euch wirklich dankbar - hab gestern geschlagene 5 Stunden dran gesessen und versucht, es zu ändern.
Vielleicht hilft euch das Protokoll von Hijack This weiter.

Logfile of HijackThis v1.98.2
Scan saved at 03:18:28, on 02.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Save\Save.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\Benny\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
F1 - win.ini: run=C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Ich wär euch dankbar, wenn ihr mir bei dem Problem weiterhelfen könntet.

Viele Grüße und vielen Dank im Voraus,

meinhaus

Hallo meinhaus,
1.) Lade dir LSPFix runter bevor du irgendwas fixt oder löschst was mit new.net zu tun hat, da es sein kann, dass du nach der Entfernung nicht mehr ins Netz kannst.
2.) hast du schonmal Spybot Search&Destroy oder AdAware probiert?
3.) Dein Windows ist nicht auf dem neusten Stand, aktuell ist SP2.
4.) Was genau du fixen musst kann ich dir leider nicht sagen, aber wenn du Probleme damit hast, dass das "gefixte" wiederkommt, dann versuch es mal im abgesicherten Modus bei abgeschalteter Systemwiederherstellung.
Warte aber erst die Scans ab, die dürften auf jeden Fall die Adware SaveNow entfernen.

Hallo Haui45,

erstmal vielen Dank für die Tipps. Leider hat auch die von Dir vorgeschlagene Vorgehensweise nichts genutzt. Ich bin folgendermaßen vorgegangen:
1.) LSPFix heruntergeladen
2.) den PC im abgesicherten Modus hochgefahren (ich weiß allerdings nicht, wie man die Systemwiederherstellung abschaltet)
3.) Spybot Search & Destroy drüberlaufen lassen
4.) alle genannten Kategorien gelöscht.
Nach Schritt 4.) kam immer eine Meldung, dass sich zwei Dateien dem Löschen entzogen haben:

Benutzer-Einstellungen HKEY_USERS\S-1-5-18\Software\Updates
und
Benutzer-Einstellungen HKEY_USERS\DEFAULT\Software\Updates
Spybot bezeichnet beide Dateien als "Registrierungsdatenbank-S chlüssel".

Diese beiden Dateien verhindern anscheinend das endgültige Löschen der "falschen" Startseite. Sobald ich den PC normal hochgefahren habe, waren die Dateien, die für die Anzeige der "falschen" Startseite verantwortlich sind, wieder vorhanden.
Hast Du eine Ahnung, wie ich den beiden Dateien endgültig den Garaus machen kann? Spybot hat nach dem fehlgeschlagenen Löschen empfohlen, den PC neu zu starten und hat dann erneut einen Check durchgeführt. Auch hier wurden die Dateien erkannt, ließen sich allerdings erneut nicht löschen.
Würde es was bringen, im abgesicherten Modus die entsprechenden Befehle in der registry zu löschen? Oder soll ich es noch mal mit Hijack This versuchen?

Vielen Dank im Voraus.

meinhaus

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Solange du dein System inklusive IE nicht ausreichend patchst, werden keine Lösungsvorschläge dauerhaft bei dir greifen!
Deshalb dringendst http://v5.windowsupdate.microsoft.co...r/default.aspx besuchen und patchen, dann macht eine Bereinigung deines Systems auch Sinn.

Hallo cidre,

mit dem Tip hast Du recht, danke dafür. Ich hatte die Sache mit den Updates allerdings vernachlässigt. Mittlerweile sind alle wichtigen auf den PC gespielt.
Kannst Du mir einen Rat geben, wie mein Problem jetzt zu lösen ist? Vor nachfolgenden Bedrohungen sollte ich ja geschützt sein.

Gruß,

meinhaus

@ meinhaus

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = h**p://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll

O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe

Lösche mit LSP-Fix:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

(Es kann sein, dass Du Probleme bekommst, ins Netz zu kommen. Mit LSP-Fix kannst Du diese Probleme beheben: die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten.)

boote in den normalen Modus.

beende:

Save.exe
MSMSGSVC.exe
winex.EXE

lösche:

C:\PROGRA~1\Save\Save.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\dpe.dll
C:\Programme\winex\v2\winex.EXE

Aktiviere die Systemwiederherstellung,

Überprüfe mit virusscan.jotti.dhs.org:

C:\WESTWOOD\ALARM\INSTICON.EXE

--> Ergebnis?

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD