# www.your-search.cc als startseite



## Paule (13. Februar 2004)

Bei meinem Internet Explorer kommt seit einiger Zeit immer 
die im Betreff genannte Url als Startseite.Auch wenn ich about:blank immer wieder als startseite eingebe ist es nach einem Neustart wieder wie gehabt mit dieser your-search url als Startseite.Ich habe gehört, dass da ein Eintrag in der Registry bei jedem Neustart die Seite neu einträgt. Ich würde mich freuen, wenn mir bei diesem Problem jemand helfen könnte.

MfG

Paule

Admin-Mitteilung: Lösung des Problems hier: http://www.tutorials.de/tutorials139122.html


----------



## Sinac (13. Februar 2004)

Schau mal in der Registry ob da ein Eintrag mit der URL ist, irgendwo bei Windows oder IE, und lösch den dann.

Greetz...
Sinac


----------



## Paule (13. Februar 2004)

Hmm, hab ich mal gemacht, aber leider ohne Ergebnis.
Sonst noch Ideen, was ich machen könnte? Wonach ich suchen könnte?

Grüße

Paule


----------



## Jiekas (13. Februar 2004)

Ich würde an deiner Stelle einfach mal deinen Rechner mit AdAware durchscannen. Das Programm findet Spyware o.ä.


----------



## Paule (14. Februar 2004)

Werde ich mal probieren, dankesehr.

Grüße

Paule

Leider erfolglos, weder Spybot search&destroy noch ad aware haben was gebracht, nach einem Neustart war die Seite wieder beim IE als Startseite eingestellt.


----------



## VisualCerberus (15. Februar 2004)

Hi Alle!

Ich hab das selbe Problem, seit ich auf irgendeiner verbrecherischen Site gewesen bin (suchte nach Kochrezepten) .
Ich hatte definitiv einenTrojaner (AVP) im Windows-Ordner (weiss leider nicht mehr den Filenamen, war aber glaub ich ein .js.9) Ich hab den Schmarrn dann gelöscht und die Startseite geändert und dachte mir, dass das damit erledigt ist. Tja 2 Tage später hatte ich dann wieder die your-search.cc als Startseite.
Ich hab rausgefunden, dass es in der Registry 3 Einträge dafür gibt:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Search Bar
Search Page
Start Page

Ich werd die jetzt mal alle löschen und hoffe das wars.

cu
VisualCerberus


----------



## Paule (15. Februar 2004)

Also, an den Registryeinträgen liegt es nicht, ich hab die eben mal auf "about:blank" umgeschrieben und neugestartet und sie waren wieder wie davor.
Also muss es irgentein script auf dem Rechner geben, welches das bei jedem Neustart wieder umschreibt. 

MfG

Paule


----------



## mini_xs (16. Februar 2004)

Hallo!

Spybot Search & Destroy.

Ist meiner Erfahrung nach das beste gegen solche "Biester".

Findest Du hier.

Gruss Stefan


----------



## Fabian (16. Februar 2004)

Er sagte ja schon das SpyBot nichts genuetzt hat.

Mach nen Virescann (http://housecall.trendmicro.com)
Schau ob du irgendwelche Freeware installiert hast die auf Ad's basiert, schau ob du Software die du nicht brauchst deinstallieren kannst, deinstallier Software die neu installiert ist. ;-)


----------



## johnmac (16. Februar 2004)

*success*

hi guys -

(sorry, my german isn't very good, but here goes....)

ich glaube, du wirst es im Registry finden, unter

HKEY Current User / Software / Microsoft / Internet Explorer / Main
(as given in a previous reply)

ABER, es wird nicht "you-search.cc" heissen, sondern einen IP Addresse wie
http://203.66.77.83/start.php?
oder sowas aehnliches....

ich habe es gerade jetzt gefunded und geloesched, und bis jetzt geht's gut...

viel spass

john


----------



## berniechap (16. Februar 2004)

*Identifizierung des Virus*

Meine Virenschutzsoftware hat als folgenden Virus gefunden, der vielleicht für den ungewünschten Wechsel der IE-Startseite verantwortlich ist:

Update12.js im Verzeichnis c:\Windows

Es soll sich um den Virus "TrojanJS.StartPage.a" handeln, der u.a. auch Passwörter ausspionieren können soll.

Habe die Date eben in die Quarantäne geschoben. Mal sehen, ob mir ´your-search' ab jetzt erspart bleibt.


----------



## Paule (16. Februar 2004)

Ja, es lag an der update12.js 
Ich habe sie gelöscht, danach die Registry-Einstellungen berichtigt , neugestartet und es war danach immer noch about:blank als Startseite, sehr gut, dankesehr. Aber dadurch, dass ich sie löscht braucht mein windows recht lange zum booten und es kommt eine Fehlermeldung dass die update12.js nicht gefunden werden kann. Jetzt wüsste ich noch gerne, von wo aus diese Datei gestartet werden soll. Mit msconfig habe ich mal meinen Autostart angeschaut aber dabei nichts  gefunden.

MfG

Paule


----------



## Fabian (16. Februar 2004)

Schau mal die Liste durch, evtl. steht da was:

http://de.trendmicro-europe.com/ent...el=1&ddmVWkday=&ddmVMonth=&ddmVDay=&ddmVYear=

(Ich denke es ist --dieser hier-- )


----------



## VisualCerberus (16. Februar 2004)

*update12.js*

Hi

Das *.js war das update12.js, das ich schon vor Tagen gelöscht habe.

Das ändern der Einträge in der Registry in Kombination mit dem Löschen des js files hat leider nichts genutzt. Interessant ist, dass sich die Startseite erst ändert, wenn man das erste mal wieder online ist, davor steht beim Start des Explorers die richtige Startseite in dem url-feld.

cu
VisualCerberus


----------



## maldinio (17. Februar 2004)

Hey Leute!

Also ich hab dasselbe Problem.
Ich hatte diesen nervigen Trojaner schon unter Win2000, aber damals hab ich einfach eine Datei mit dem Eintrag "http://81.211.105.43/index.php?v=5" gesucht und gefunden. Es war auch die update12.js. Die hab ich dann gelöscht und fertig war das Problem. Nun hab ich Windows XP drauf und schon wieder den nervigen Trojaner oder was es auch sein soll. Nur hier hab ich ein Problem. Ich finde weder die update12.js noch eine andere Datei mit diesem Eintrag. Jedesmal nachdem Neustart UND Verbindung zum Internet meldet sich diese dämliche Seite als Startseite an. Hab auch alle Tricks benutzt damit XP auch wirklich alle Dateien anzeigt, aber bisher ohne Erfolg. Kann mir jemand weiterhelfen?


----------



## Zonnen (17. Februar 2004)

*removal tool*

Hatte ebenfalls das problem - nach einigem suchen fand ich folgende wirksame ww (wunder-waffe):

CWshredder, erhältlich z.b unter

ftp://ftp.freenet.de/pub/filepilot/windows/security/cwshredder_1473.zip

einfach downloaden, ausführen und alles ist bereinigt 

cya,
Zonnen

ps


----------



## ESM (17. Februar 2004)

Format C. könnte auch helfen  Ist das beste Heilungsmittel


----------



## fitz (17. Februar 2004)

*re  removal tool*

tausend Dank Zonnen ich hatte den gleichen shit seit wochen und er hat mich fast zum verzweifeln gebracht - dank deines wunderbaren tools is wieder alles OK


----------



## VisualCerberus (17. Februar 2004)

*Squax*

>Format C. könnte auch helfen  Ist das beste Heilungsmittel 

da muss man schon format c: eingeben und nicht format c.


bist du vielleicht einer von denen die das lustig finden oder sogar selber machen ? (Trojaner u. ä. oder ähnlichen Schmarrn?)

cu
VisualCerberus


----------



## Fabian (17. Februar 2004)

Finde so ne behauptung laecherlich, nur weil einer sagt Format C: ist das beste... Er hat aber recht  Nen System sollte immer ohne Probleme wiederherstellbar sein.


----------



## berniechap (17. Februar 2004)

*CWShredder*

Danke, Sonnen, für den Hinweis auf CWShedder. Mal sehn, obs ne dauerhafte Lösung ist. Gruß, berniechap.


----------



## VisualCerberus (19. Februar 2004)

*Removing Instructions*

http://www.sophos.com/virusinfo/analyses/trojstartpagc.html


----------



## ESM (19. Februar 2004)

*Re: Squax*



> _Original geschrieben von VisualCerberus _
> *>Format C. könnte auch helfen  Ist das beste Heilungsmittel
> 
> da muss man schon format c: eingeben und nicht format c.
> ...


Entschuldigung, dass ich einmal vergessen habe die Shift-Taste zu drücken. Du vergisst es wohl andauernd. Schau mal in die Netiquette!
Nein, 100%ig nicht. Finds nur schwachsinnig...
Gruß


----------



## VisualCerberus (19. Februar 2004)

*Squax*

Hi Squax!

Sorry, war sicher zu hart, die Reaktion.

Aber: die Leute hier (un dich) haben ein Problem und möchten Hilfe. Ich für meinen Teil in dieser Situation brauch dann keine Betriebssystemgrundsatzdiskussionen oder zynische Kommentare.

Alles klar ?

cu
VisualCerberus


----------



## VisualCerberus (20. Februar 2004)

*Removing Instructions*

Hi Leute!

Hat leider auch nichts gebracht.

Hab jetzt Spybot-S&D drüberlaufen lassen. Hat einiges entdeckt und removed. Mal abwarten ob der Hundling dabei war.

cu
VisualCerberus

PS: die url: http://www.safer-networking.org/index.php?page=download


----------



## berniechap (20. Februar 2004)

*CWShredder hat bei mir gewirkt*

Das von Sonnen (siehe frühere Beiträge) empfohlene Tool CWShredder hat bei mir gewirkt. Die unerwünschte Startseite ist seitdem nicht mehr aufgetaucht.
CWShredder kann man unter dem von Sonnen angegebenen Link in einer aktualisierten Version abrufen.


----------



## KEK16 (20. Februar 2004)

Japp, das Programm tut absolut perfekt seinen Dienst.

btw: wusste garnicht das der Thread neu ist, hab ihn bei Google entdeckt. 

Danke...
kek16


----------



## knulp (20. Februar 2004)

Format C ist wirklich ein Wundermittel,, zumal eine Neuinstallation von Windows durch die bootfähigen CDs jetzt schön einfach geworden ist.
Außerdem läuft der PC dann stabiler und man merkt welche Leistungsreserven in ihm stecken  


Gegen sowas hilft außerdem Mozilla, darauf ist die Spyware nicht ausgerichtet


----------



## VisualCerberus (20. Februar 2004)

*knulp*

.. jaja, schon wieder ..

Mach nur, formatier deine Platte jeden Tag aufs neue 

cu
Visualcerberus


----------



## ESM (21. Februar 2004)

Das sollte keine Betriebsgrundsatzdiskussion und auch kein zynischer Kommentar sein. Aber das hilft nunmal immer...


----------



## IRQ (21. Februar 2004)

> _Original geschrieben von Squax _
> *Das sollte keine Betriebsgrundsatzdiskussion und auch kein zynischer Kommentar sein. Aber das hilft nunmal immer... *


 Das hilft überhaupt nicht immer. Die meisten Nutzer verwenden ja zum Neuinstallieren keine eigene WindowsCD mit eingebauten Updates und dergleichen. D.h. nach der Neuinstallation ist das System total ungeschützt. Wer da mal vergisst seine Internetverbindung vorher zu trennen, darf sich über den Blaster freuen. Wer die Sicherheitsupdates nicht vollständig einspielt, hat nach kurzer Zeit wieder die netten Hijacker Programme.


Wenn man aber sowieso immer konsequent die neuesten Updates installiert, braucht man auch nicht neu zu formatieren.


----------



## Dominik Haubrich (24. Februar 2004)

Thread closed, die Lösung durch das Tool "CWShredder" findet sich ebenfalls hier: http://www.tutorials.de/tutorials139122.html

PS: Das Internet-Forum ist nicht dazu bestimmt, Grundsatzdiskussionen zum Thema Computer-Sicherheit zu führen, sowas gehört in den Smalltalk-Bereich


----------

