Dubiose Startseite wird offline beim Start von IE angezeigt

Hi Leute,
seit einigen Tagen wird immer beim Start des IE eine unseriöse Startseite angezeigt, für die sich der Computer auch gar nicht einwählt. Diese SEite stammt anscheinend aus dem Ordner TEMP.... Ich habe mal alles gelöscht (also Cookies und Dateien) und auch mit zwei Programmen (Hijackthis und CollwebShredder) - wie unter dem Link http://www.wintotal.de/Tipps/Eintrag.php?TID=873 beschrieben, der dieses Problem auffasst, versucht, dagegen vorzugehen. Leider erfolglos. Komischerweise hat die SEite, die beim Öffnen angezeigt wird, auch am Ende bei jedem Öffnen des IE anders benannt (Bsp.: ...Temp\ygltyjcpikt.html oder ...Temp\dzfkzpnpbvi.html).Diese Seite nennt sich easy search - powered by google. Was hat es damit auf sich und wie kann ich diesen Fehler endlich entfernen, sodass wieder die korrekte Startseite angezeigt wird und der Computer sich einwählt, was er ja zur ZEit nur durch Drücken auf den Button Startseite tut.

Vielen Dank für eure Hilfe!!

Lies mal das durch:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
und kopier danach mal das logfile von HijackThis hier rein.

Hier also das Logfile von hijackthis:
was muss ich wahrscheinlich löschen???

Logfile of HijackThis v1.98.2
Scan saved at 16:50:59, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ifconfig.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\System32\ifconfig.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\zwvjvegrbyi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ifconfig.exe] C:\WINDOWS\System32\ifconfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D6CDFCD-A9A0-49DE-916D-820BA18DF8E4}: NameServer = 194.97.173.124 194.97.173.125

O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\zwvjvegrbyi.dll

Zum Vergrößern anklicken....

Das mal Fixen.

Den Ordner C:\Dokumente und Einstellungen\dein Benutzername\Lokale Einstellungen\Temp\ mal leer machen. Lokale ist ein verstekter Ordner den du evtl. erstmal sichbar machen musst. (Extras, Ordneroptionen/Ansicht).

JO,
danke für den Tipp, versteckte Dateien anzuzeigen. Jetzt hab ich auch endlich das Verzeichnis TEMP gefunden, wo diese Seite eigentlich abgespeichert sein müsste.
In diesem Verzeichnis finde ich die betreffende Datei, die mir hijackthis anzeigt, aber nicht. Es befinden sich eine Menge Dateien darin (.dll.av usw.).
Wie wäre die weitere Vorgehensweise?

Al schrieb:

Temp\ mal leer machen.

Zum Vergrößern anklicken....

lösche den Inhalt komplett

pan_fee

Ich soll alles löschen, was da drin ist - ist das nicht ein bisschen gewagt? SInd dort keine wichtigen Sachen drinne?

temp oder auch tmp = temporär = nur zum kurzzeitigen gebrauch wie z.b. installieren gedacht ... alles was von einem tmp oder temp verzeichnis ausführbare software mit endungen wie .exe .com .dll .vbs etc. startet ist mit vorsicht zu genießen und mit hoher wahrscheinlichkeit bösewichte die sich dort eingenistet haben. also kannst du diese ordner bedenkenlos löschen, falls eine meldung kommt, daß die datei gerade im zugriff sei, solltest du prüfen, zu welchem prozess diese datei gehört. den prozess eventuell beenden und dann die datei löschen ...

greetz

hugo

SO,
hab jetzt den Ordner komplett gelöscht - auch die Datei, die es zu sein scheint im abgesicherten Modus. Kaum hatte ich die Kiste neu gestartet, hatte sich wieder eine Datei (die es auch zu sein scheint) in den Ordner eingeschlichen. Was ist da los? Virenscanner hat auch nichts gebracht.

Hallo Leute,
nachdem ich schier beinahe verzweifelte, da sich irgendeine Spyware auf meinem Rechner eingenistet hatte, die anscheinend im Internet Explorer die Startseite so verändert hatte, dass ich sie nicht umstellen konnte und auch Programme wie hijackthis u. ä. nichts gebracht haben und auch das vollständige Leeren des Ordners .temp nichts gebracht hat, bin ich gestern durch Zufall darauf gestoßen, wie man dieses Programm beseitigt:
Absolut simpel:
In der Systemsteuerung tauchte das Programm unter Software auf - einfach entfernen, schon ist die gewohnte Startseite wieder da!!!

Thema zusammengefügt

Die Weg der Schleicher sind verschieden, aber in der Software und Sytemsteuerung ist ja richtig treist. Musst du wohl einfach zugestimmt haben im Web ;D

8)
[Ironie]Toll, und bedeutet das jetzt, dass die ganze Armada an Antispyware nichts taugt?  Da fragt man sich nur, warum Billy diese Woche selbst eine neue Antispyware uns Usern zur Verfügung gestellt hat?[/Ironie]
Trotzdem erfreut es zu lesen, dass es noch anständige Spyware gibt, die sich einfach per Systemsteuerung entfernen lässt. Jetzt sollten wir nur noch erfahren, um welche Spyware es sich überhaupt handelte.

Die Software nannte sich easy search und maßte sich an, eine Suchmaschine sponsored by google zu sein. Die Seite öffnete sich beim Start von IE offline.