XP, Explorer und die gekarperte Startseite.

[ABRAXAS]

Hallo Leute,

ich habe leider nun auch ein Problem mit der Startseite.

Hinzu kommt aber anscheinend noch ein Problem; da ich CWShredder nicht starten kann...

Wobei es mich ja eigentlich wundern würde, wenn ich mir einen Virus, Trojaner oder dergleichen eingefangen hätte. Der einzige Virus scheint hier Windows zu sein.

Ich habe die Kiste frisch aufgesetzt.

XP Prof incl. SP2 frisch aus der OVP auf den Rechner.

Hatte das Netzwerkkabel entfernt.

Habe die Treiber installiert.

Dann sofort Antivirus und Firewall installiert.

Nun bin ich erst ans Netz und gleich auf die WinUpdate-Seite.

Nachdem ich die Updates installiert hatte, war mein Browser "gekarpert".

Ich kann die Startseite von MSN nicht mehr ändern - als ob es MS Schikane währe...

Ich habe mir die Threads durchgelesen zu dem Thema HiJacking und bin ja eigentlich der Ansicht - woher, wann und wie soll mein Rechner ge-hijackt worden sein?!

Trotzdem habe ich mir mal CWShredder heruntergeladen.

Nun der nächste dicke Hund ich kann das Programm nicht ausführen, "keine zulässige Win32-Anwendung"...

Nun bin ich gerade etwas ratlos - "Hilfe!"...

[Thanks-and-Goodbye]

Kannst du Hijackthis ausführen und hier das Logfile posten?

Links gibts in der Linkliste Securitybereich.

[ABRAXAS]

...ich habe es auch durch den Analyser von der HiJackThis-Seite gelassen - alles gut?!

...nichts ist gut! *grrrr*

Logfile of HijackThis v1.99.1

Scan saved at 12:36:32, on 08.07.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe

C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

D:\HiJackThis\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe

O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"

O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152301253104

O17 - HKLM\System\CCS\Services\Tcpip\..\{297DAF24-0B33-476E-9582-71C329DCC5A8}: NameServer = 192.168.2.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{6BD3B23C-B4DB-449E-B895-3A9DF55BD99D}: NameServer = 192.168.2.2

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DVD-RAM_Service - Matsu****a Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: AOpen NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Manitu71]

warum?

das Logfile ist doch einwandfrei

jetzt bleibt nur noch das Prob mit der Startseite

[ABRAXAS]

*hass*hass*hass*

...ich kann die MSN-Seite nichtmehr sehen!!!

...hat denn keiner eine Ahnung, woran das liegen kann?

...was Windoof mir da für ein Kuckucksei ins Nest gelegt hat?!

...und dass der CWSherdder nicht auszuführen ist, das ist auch komisch?!

[allesweg]

1. Deine Satzzeichen klemmen.

2. Vielleicht deshalb, weil du den Herstellernamen misshandelst?

3. scanne mal die Registry nach der URL deiner Startseite. Falls du da was findest, stelle da versuchsweise deine Wunschstartseite ein.

[Bubble]

Hättest Du die Startseite vor dem Einspielen der Updates ändern können?

Welchen Provider nutzt du? Evtl. ist die erste Seite, die Du zu sehen bekommst, immer vom Provider bestimmt, egal was Du eigentlich aufrufst.

[Thanks-and-Goodbye]

Nutze die Bart PE (am besten in der c't-Version), boote davon und lass von dort aus mal Spybot Search and Destroy auf dein System los.

Bist du sicher, dass du kein Rootkit auf dem Rechner hast?

Anmerkung am Rande: ich bitte darum, die Emotionen zu zügeln.

[ABRAXAS]

Vor dem Aufspielen der Updates ging es noch.

Ich habe auf der anderen Partition mal W2K installiert. Hier habe ich nur den Windoof-Updater ge-updatet; seither kann ich auch hier die Startseite nichtmehr ändern.

...Bart PE?!

...mal nachgucken, auf der C´t-Seite.

[ABRAXAS]

...mit der Windows OEM CD ist kein BartPE zu erstellen...

...habe aber S&D so d´rüber laufen lassen - ausser 2 Keksen wurde nichts gefunden...

...prima... :helau:

[Manitu71]

du hast Bubbles Frage nicht beantwortet und

btw

es heißt immer noch "Windows"

[ABRAXAS]

Die nach dem Provider meinst du?

T-Offline. Aber ich benutze nicht die Software oder deren Browser.

Einwahl läuft übers LAN.

Ich habe mein System mittlerweile mit ´zig Scannern, AntiSpyware, usw. zugespammt. Alle sagen, dass alles i.O. ist.

[Thanks-and-Goodbye]

Zonealarm war hier schon ein paar mal wegen überraschender Features (gerade beim Blocken von Webinhalten, Ani-gifs usw.) aufgefallen. Überprüf mal die Konfiguration, ob dort irgendwas ist.

[allesweg]

Wenn du mit den Scannern so umgehst, wie mit Namen, wundert mich nichts mehr.

[Thanks-and-Goodbye]

OK, können wir uns jetzt bitte darauf einigen, dass sowohl Namen von Produkten und Herstellern nicht mehr verballhornt werden wie auch das andauernde Bemäkeln dieser Verballhornung zu genüge in diesem Thread vorgekommen ist?

[ABRAXAS]

Tatsache - der "Virus" nennt sich ZoneAlarm... :eek

Habe allerdings keine Möglichkeit gefunden diese Einstellungen gezielt auszuschalten.

Das wird doch nicht etwa ein Trick sein, dass man die Pro-Version kauft!?

...da nehme ich doch eher ein Alternativprodukt... :confused:

However - thx für den Tipp. :e@sy