Startseite wird immer auf MSN umgeleitet

ciotto

Hi, muss leider nochmals zurückkommen auf einen thread vom 15.9.2006 (trustworth), der leider nicht mit einer Lösung endete.
Nun habe ich das gleiche Problem und habe auch schon alle in dem thread angegebenen Tipps versucht, aber es hat nichts geholfen.
Weder Hijackthis noch Spybot noch Adaware konnten etwas finden.
Als Firewall und Virenscanner habe ich Gdata eingesetzt, dessen Scan auch kein Ergebnis bringt.
Spybot reklamiert jedesmal beim Neustart, dass ein Programm (welches, wurde leider nicht angegeben, bzw, es wurde im Protokoll angegeben, dass der reg-Eintrag "Hkey-CurrentUser/Software/Microsoft/Internet Connection Manager mit dem Eintrag: "http://www.microsoft.com/isapi/redir.dl…r=68&ar=msnhome") diese Startpageänderung veranlasst. Leider kann der Spybot das auch nicht abwehren, obgleich ich abgelehnt habe.
Gibt es inzwischen Erkenntnisse, wie solch ein hijacking (lt. Google Recherche soll das eigentlich nur bei ie vorkommen) bei Firefox gemacht wird und wie man sich von dieser Plage befreien kann?
Kann mir jemand helfen oder muss ich tatsächlich den ganzen Rechner neu aufsetzen? (habe leider sehr viel installiert und wieder mal nicht häufig genug gesichert).
Oder würde ein Umstieg auf Firefox 3 helfen?

Gruss

Ciotto

liracon

Hallo,

ich vermute nicht, dass es ein "Schädling" ist, der sich da eingenistet hat.

Bei Windows-Updates - die auch den IE betreffen - kommen solche Sonderheiten öfters mal vor (mit Auswirkungen auf andere installierte Browser).

Wenn Du Spybot installiert hast, kannst Du versuchen, die Startseiten der Browser auf default zurückzusetzen bzw. auf manuell eingegebene Ziele.

Den Punkt findest Du bei Spybot unter Werkzeuge->Browserseiten.

Ebenso kannst Du versuchen in der Registry die Aufrufkeys manuell zu ändern.

/edit:
ein Umstieg auf FF3 ist natürlich die bessere Alternative, jedoch wird er am bestehenden Problem nichts ändern, vermute ich.

Merke Dir die Adresse, zu der beim Start geleitet wird und suche nach dieser Adresse in der Registry. Wenn gefunden, kannst Du diese Einträge testweise abändern auf eine andere Seite.

SmurFy

Scheint evtl. ein BHO (aber als Malware) zu sein!

Evtl. mal diesen Thread lesen *englisch! Schieb mal Dein HJT Log hoch und verlinke das mal hier!

liracon

aber ein Schädling der auf Microsoft verlinkt ? Wäre doch nicht sonderlich effektiv.

Schaut nach einem Update bei Live Messenger oder Messenger aus.

SmurFy

Zitat von liracon

Schaut nach einem Update bei Live Messenger oder Messenger aus.

Könnte ich jetzt Anhand einer ähnlichen Situation auf Schwesters Rechner bestätigen! Sie nutzt nun Miranda und somit, was Messenger betrifft, auf der etwas sichereren Seite *fg!

ciotto

o ganz vielen Dank erst mal für eure schnellen Antworten. Eines konnte ich am Samstag noch ausprobieren, nämlich den Firefox 3 zu installieren. Wie schon befürchtet, ändert das an dem Problem nichs. Auch habe ich die letzte SW (Itunes), die ich installiert hatte (aus meiner Erinnerung war das Problem vorher noch nicht da) gelöscht, aber ohne Auswirkung auf das Problem. Am Sonntag konnte ich leider nichts machen, da ich da mit ner blöden Sommergrippe niederlag. Heute gehts schon wieder besser und das Problem brennt mir wieder, da ich eigenlich nicht wage, momentan Onlinebanking zu machen, solange ich diese blöde Sache nicht gelöst habe.
Jetzt zu euren Tipps:
Liracon, habe Spybot auf erweitert gestellt und die Werkzeuge gefunden und so geändert, wie du geschrieben hast.
In der Registry habe ich diese von mir oben beschriebenen Einträge ca.10x gefunden. Spybot meint ja, dass es ein ganz bestimmter Schlüssel ist, aber bei Überprüfung des Reg-Eintrages kann ich feststellen, dass Spybot sich da etwas vertan hat.
Trotzdem werde ich die Einträge mal nach und nach verändern und sehen, welches evtl. der richtige Schlüssel ist.
SmurFy, ich stelle dir mal meinen log von Hijackthis rein. Hatte diesen auch schon mal im Internet checken lassen (automatisch, kam aber nichts auffälliges raus.)
Mit einem update bei live messanger oder messanger kann es nichts zu tun haben, da ich den messanger gekillt habe.

Mich wundert auch, dass es jetzt 2x war, dass meine eingestellte Adresse nach einem Neustart gestartet wurde, aber jetzt wieder nicht.

Alle Maßnahmen bisher haben leider noch keine Lösung gebracht.

Aber vielleicht hilft ja der log, den ich allerdings als Kopie beifüge, denn ich kann nicht so schnell einen öffentlichen Server finden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:08, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ofps.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\system32\CAP2RSK.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe
C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe
C:\Programme\Steganos Privacy Suite 2008\fredirstarter.exe
C:\Programme\ScanSoft\OmniForm 5.1\OFPA.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\Samsung\SAMSUN~1\LAUNCH~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Steganos Privacy Suite 2008\Suite.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Sprite Software\Sprite Backup\SpriteService.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP2LAK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP2SWK.EXE
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Steganos Privacy Suite 2008\SteganosAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Steganos Privacy Suite 2008\Safe.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [ControlCenter] "C:\Programme\IBM fingerprint software\ctlcntr.exe" /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF4 Registry Controller] "C:\Programme\ScanSoft\PDF Professional 4.0\\RegistryController.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2008 HotKeys] "C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SSS2008 File Redirection Starter] "C:\Programme\Steganos Privacy Suite 2008\fredirstarter.exe"
O4 - HKLM\..\Run: [OmniForm OFPA] C:\Programme\ScanSoft\OmniForm 5.1\OFPA.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [S60TrayApplication] C:\PROGRA~1\Samsung\SAMSUN~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [PPort9reminder] "C:\Programme\ScanSoft\PaperPort\WebEreg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\9\Config\ereg.ini"
O4 - HKLM\..\Run: [CAP2ON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAP2ONN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [SSS2008 Agent] "C:\Programme\Steganos Privacy Suite 2008\Suite" -agent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SpriteService] "C:\Programme\Sprite Software\Sprite Backup\SpriteService.exe"
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Canon LASER SHOT LBP-1210-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP2LAK.EXE
O4 - Global Startup: Digital Line Detect.lnk.disabled
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\HP\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: TraXEx 3.1.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: Mit ScanSoft PDF Converter 4.0 öffnen - res://C:\Programme\ScanSoft\PDF Professional 4.0\cnvres_ger.dll /100
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\http://EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.1 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.1 Löschautomat.lnk
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - http://www-307.ibm.com/pc/support/acpir.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: OmniForm Printer - Unknown owner - C:\WINDOWS\system32\ofps.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe

--
End of file - 16151 bytes

Gruss
javascript:emoticon(':cry:')

Ciotto

SmurFy

Logfile sieht Gut aus! Nichts Auffälliges zu erkennen!

Was ich jetzt noch zu Überlegen geben würde:
Ist es Mglich, das Du über ein Update Deiner installierten Software soetwas wie die Yahoo-Toolbar o.ä. installiert bekommen hast.Es muss an einer Software liegen, welche Dir die Browsereinstellungen verändert!

Wenn GData; Spybot nichts findet, dann evtl. mal mit Gmer den PC Scannen (diese Anleitung dient als Hilfe).

ciotto

Hallo,

Danke für die Analyse meines logs.
Inzwischen habe ich auch mal alle in der Registry vorhandenen redir-Anweisungen auf msnhome auf unterschiedliche Internetseiten umgeändert und kann nun sagen, dass tatsächlich meine firefox-Startseite direkt auf eine meiner eingetragenen Seiten landet.
Hier der Auszug aus der Registry:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\Access Connections\Locations\LAN O\AdptList\Adpt00]
"m_eAdptType"=dword:00000001
"m_szPnpId"="PCI\\VEN_8086&DEV_101E&SUBSYS_05491014"
"m_dwAdptSpeed"=dword:05f5e100
"m_szAdptDescr"="Intel(R) PRO/1000 MT Mobile Connection"
"m_bUseInetSettings"=dword:00000001
"m_bSetHomePage"=dword:00000001
"m_szHomePage"="http://www.spiegel.de"
"m_bSetBrowserPxySettings"=dword:00000001
"m_bSetSecuritySettings"=dword:00000001
"m_bEnableFirewall"=dword:00000001
"m_bCfgTcpipSettings"=dword:00000001
"m_bDhcpEnabled"=dword:00000001
"m_bAutoDnsEnabled"=dword:00000001
"m_bUseAdvDnsSettings"=dword:00000001
"m_bAppendParentSuffixes"=dword:00000001
"m_bRegisterCnAddrInDns"=dword:00000001
"m_bEnableLmHosts"=dword:00000001

Egal, was ich bei der Homepage eintrage, genau diese Adresse wird dann beim Start von Firefox angezeigt. (in diesem Fall eben der Spiegel)

Warum allerdings dieser Eintrag diese Wirkung hat, weiß ich nicht, denn ich habe schon immer von Lenovo die Access Connection-Software benutzt und auch keine Änderungen in der letzten Zeit durchgeführt.
Irgendwas muss sich also geändert haben, was ich nicht nachvollziehen kann.
Übrigens: "LAN O" steht dort im Schlüssel für meinen bei Access Connection vergebenen Lan-Namen.
Kann sich darauf jemand einen Reim machen?

Gruss

Ciotto

SmurFy

Nur um das evtl. ganz ausschliessen zu können das es sich dabei NICHT um Malware o.ä. handelt, deaktiviere mal GData (Prozesse evtl. mal per Taskmamager diesbezüglich beenden) und mache mal einen Onlinescann auf dieser Seite hier!

Resonanz erwünscht!

ciotto

Hallo
danke erst Mal, aber ich bin wohl etwas konservativ und möchte deshalb nicht gerne meinen ganzen Rechner im Internet offenlegen.
Aus diesem Grund habe ich mir eben den Spy Sweeper runtergeladen und will mit dem mal scannen. Dazu habe ich vor, noch mit dem Rootkit Revealer und dem AVG Rootkitscanner zu scannen. Ich werde das Ergebnis dann wieder berichten.
Ich habe mir auch Gmer angesehen und werde das evtl. auch noch machen.

Gruss