coolwebsearch startseite hilfe!

[SilentBob]

Immer wenn ich den Internetexplorer starte öffnet sich automatisch die Startseite http://7842.directwebsearch.net/not_found.html

Ich kann die Startseite ändern, aber sobald ich wieder neustarte ist die Seite wieder meine Startseite.

Ich habe Ad Aware, Spybot, CWShredder benutzt aber ich bekomme diese Seite bzw. Hijacker einfach nicht weg...

Code:

Logfile of HijackThis v1.99.1 
Scan saved at 18:51:23, on 22.03.2005 
Platform: Windows 2000 SP2 (WinNT 5.00.2195) 
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) 

Running processes: 
C:\WINNT\System32\smss.exe 
C:\WINNT\system32\winlogon.exe 
C:\WINNT\system32\services.exe 
C:\WINNT\system32\lsass.exe 
C:\WINNT\system32\svchost.exe 
C:\WINNT\system32\spoolsv.exe 
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe 
C:\WINNT\System32\svchost.exe 
C:\WINNT\system32\regsvc.exe 
C:\WINNT\system32\MSTask.exe 
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe 
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe 
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe 
C:\WINNT\Explorer.EXE 
E:\FreeSurfer\Free Surfer\fs20.exe 
C:\WINNT\System32\internat.exe 
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe 
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe 
C:\Programme\Internet Explorer\IEXPLORE.EXE 
C:\DOKUME~1\ANDRÉS~1\LOKALE~1\Temp\Rar$EX00.372\HijackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://7842.directwebsearch.net/index.php 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll 
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx 
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll 
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon 
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe 
O4 - HKLM\..\Run: [freesurfer] E:\FreeSurfer\Free Surfer\fs20.exe 
O4 - HKCU\..\Run: [internat.exe] internat.exe 
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR 
O14 - IERESET.INF: SEARCH_PAGE_URL= 
O14 - IERESET.INF: START_PAGE_URL= 
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe 
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe 
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe

Bitte helft mir. Ich bin am verzweifeln

[Speedy]

hi

C:\-------\temp\Hijackthis.exe

HijackThis niemals aus einem temp. ordner ausführen, das programm so anlegen C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup
____________________________________________________________
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) <-->MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
wie das, auf v.6.00 updaten
____________________________________________________________ _

bei windows xp und windows me, sollte man zuerst versuchen, mit hilfe der systemwiederherstellung den rechner in einen früheren zustand zu bringen, wähle einen herstellungspunkt, der vor der infektion liegt, system neu starten.
__________________________________________________________

start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
__________________________________________________________

meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
__________________________________________________________

start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren
__________________________________________________________

explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
__________________________________________________________

download von ewido, installieren, update ziehen, beenden.
aktualisiere deine antivirensoftware
__________________________________________________________
deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von winxp und fixe mit HijackThis die nachfolgenden einträge

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://7842.directwebsearch.net/index.php
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

scanne und bereinige bzw. lass die fehler an deinem system nacheinander mit deiner anivirensoftware, dann mit adaware, spybot s&d und zum schluss mit ewido beheben.

neustart, onlinescan mit panda durchfürhen, danach ein aktuelles hjt-logfile erstellen und hier posten.

[SilentBob]

Also die Startseite ist weg!!!
Ich habe nun nur ein Prob das mein McAffee beim hochfahren hackt. Ich habe auch eine Internat.exe gefixt. kann das dadurch gekommen sein? Oder soll ich einfach mal den scanner neu installieren?

Code:

Logfile of HijackThis v1.99.1
Scan saved at 23:57:08, on 22.03.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
E:\AntiSpyProgz\ewido\security suite\ewidoctrl.exe
E:\AntiSpyProgz\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\WINNT\Explorer.EXE
E:\FreeSurfer\Free Surfer\fs20.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [freesurfer] E:\FreeSurfer\Free Surfer\fs20.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - E:\AntiSpyProgz\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\AntiSpyProgz\ewido\security suite\ewidoguard.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL= konnte wohl nicht gelöscht werden... aber Startseite ist trotzdem weg.
IE 6 hole ich mir noch wollte mich nur mal vergewissern ob es den SP2 sein muss.
Echt vielen Dank das ich diesen Hijacker los bin!

[Speedy]

hi

wenn du einen eintrag R0 --> 023 gefixt hast, kannst du das rückgängig machen, wenn, hijackthis richtig angelegt wurde.

wenn du einen prozess mit hjt eliminiert hast, dann dürfte die datei endgültig gelöscht sein.

windows-update durchführen, seite sooft besuchen, bis kein verfügbares update mehr installiert werden kann.

[SilentBob]

Also ich habe die folgende Datei gefixed:

O4 - HKCU\..\Run: [internat.exe] internat.exe

Müsste ich ja dann wiederherstellen können. Kann das daran liegen das mein McAffee nich richtig hochfährt und hängen bleibt? Ist doch glaube ich eine exe. für Autostart.

Ehm... wenn ich ganz normal in Hijackthis diese Datei markiert habe und auf fix checked geklickt habe, ist diese dann unwiederruflich? Habe doch dann die Möglichkeit mit dem Backup. Weil du meintest wenn gelöscht dann unwiederruflich.
Ich hab kein Bock das ganze system neu zu machen

[Ruby]

"internat.exe is installed with Windows and is an process to providing Microsofts multi-lingual features in Microsoft Windows. This program is important for the stable and secure running of your computer and should not be terminated." processlibrary

Es hätte also besser nicht gefixt werden sollen. Wenn du HijackThis in einem eigenen Ordner untergebracht hast, befinden sich die BackUps des Programmes in diesem Ordner. Dann kannst du es rückgängig machen. Wo befindet sich der Ordner HijackThis auf deinem System? Oder gibt es keinen Ordner? Im letzteren Fall müßtest du versuchen dir eine internat.exe anderweitig geben zu lassen. Möglicherweise hat Windows eine Downloadseite für gefixte Dateien.

[SilentBob]

Also ich habe HijackThis auf C:/HijackThis/ installiert. Die exe hat also einen eigenen Ordner. In diesem Ordner befindet sich auch ein Ordner "backup"
Sollte also wohl kein Problem darstellen.

Magst Du mir noch kurz beschreiben wie ich das mit dem Backup machen muss? Kann ich nur die internat.exe wiederherstellen oder stelle ich auch meinen kleinen Freund den Hijacker wieder mit her?

Wäre echt super nett wenn Du mir das kurz erklären kannst.

Wie konnte ich auch so blöd sein und die exe löschen

[Ruby]

Soweit ich weiss gehört sie dahin: C:\WINNT\System32\internat.exe
Du müsstest also den BackUp-Ordner von HijackThis öffnen und gleichzeitig den System32 Ordner öffnen, und die Datei von einem Ordner in den anderen kopieren oder schleppen. Dazu nimmt man am besten ein Nachfolgeprogramm des Windows Commander. Was ein Glück, dass es lauter gute Programme als Freeware gibt: Dateimanager.

[Speedy]

Also ich habe die folgende Datei gefixed:

O4 - HKCU\..\Run: [internat.exe] internat.exe

Müsste ich ja dann wiederherstellen können. Kann das daran liegen das mein McAffee nich richtig hochfährt und hängen bleibt? Ist doch glaube ich eine exe. für Autostart.

Ehm... wenn ich ganz normal in Hijackthis diese Datei markiert habe und auf fix checked geklickt habe, ist diese dann unwiederruflich? Habe doch dann die Möglichkeit mit dem Backup. Weil du meintest wenn gelöscht dann unwiederruflich. !
Ich hab kein Bock das ganze system neu zu machen

hi, nein

du hast den startaufruf aus der registry gelöscht, die datei hast du nicht angerührt.

aus der übersetzung zur beschreibung von hjt trojaner-info.de

O4 - Autostartaufrufe aus der Registry Beispieleinträge:

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

Was zu unternehmen ist:
In PacMan's Startup List den Eintrag suchen und feststellen, ob dieser als 'gut' oder 'schlecht' gekennzeichnet ist.
Befindet sich der Eintrag in einer 'Startup-Gruppe' (wie der untere Beispieleintrag), kann HijackThis diesen Eintrag nicht fixen, solange sich dieser im Speicher befindet. Mit dem 'Windows Task Manager' (TASKMGR.EXE) muss ein solcher Prozess zunächst beendet werden, bevor er gefixt werden kann.

also brauchst du nur diesen eintrag zurücksetzen.
dazu hjt starten, view the list auf backups wählen, den entsprechenden eintrag auswählen O4 - HKCU\..\Run: [internat.exe] internat.exe und Restore drücken, beim neustart sollte die internat.exe wieder ganz normal mitstarten.

[SilentBob]

Hhhmm...
Also das wiederherstellen der Internat.exe hat wunderbar geklappt. Danke auch nochmal!!!

Aber als ich heute Abend den Explorer geöffnet habe war die Coolwebsearch Startseite wieder da.

Ich habe darauf hin ein Ghost Image genommen, wo Windows noch ganz nackig und neuinstalliert war. Zuerst konnte ich mich wieder an der about:blank Seite erfreuen, aber auf einmal war sie auch wieder da. Wie kann das sein? Das Image habe ich von meinem System gemacht, wo es grade frisch installiert war ohne Progz halt ganz neu. Damals hatte ich auch diese Startseite nicht.

Kann es vielleicht sein das der Hijacker sich im Speicher ein Plätzchen gesucht hat? Geht das?

Was haltet Ihr davon, wenn ich meine Platten kompl. Formatiere und alles neu installiere. Ist der Hijacker dann endgültig weg?