Startseite gehijackt ??

Hallo,

hin und wieder wird meine Startseite gehijack. Ich verwende Firefox 1.06. Als Startseite habe ich www.search.yahoo.de eingetragen. Wenn ich mich jedoch ins Netz verbinde wird ab und zu diese Seite geladen:

http://217.0.117.27:8080/serviceRedirect?serviceURL=http://www.search.yahoo.de/

Dann werd ich auf diese Seite geleitet:

http://portal.1und1.de/?originURL=0

Das ist im Übrigen mein DSL provider!

Hier mal ein Hijackthis log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Computer\Programme\Viren&Trojaner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{145D3A82-DBA3-468C-9834-DFA791A289E0}: NameServer = 217.237.149.225,217.237.151.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{145D3A82-DBA3-468C-9834-DFA791A289E0}: NameServer = 217.237.149.225,217.237.151.97

Kann mir jemand sagen, was da los ist ? Ich habe eben diesen Artikel schonmal geschrieben. als ich den Artikel abschicken wollte war die Verbindung mittlerweile durch das Modem abgebaut. Ich hab dann auf aktualisieren geklickt und wurde nach dem Neuaufbau der Verbindung wiederum weitergeleitet nach:

http://217.0.117.27:8080/serviceRed...?action=post2;start=0;board=53&t=echoty64

Und dan geht' wieder ab zu:

http://portal.1und1.de/?originURL=0

Gruß XT560

Das Logfile ist nicht vollständig, da fehlen z.B. Angaben zu Betriebssystem und ServicePack, IE-Version, HJT-Version etc.

Cheers,
Joshua

Da hast du recht:

Logfile of HijackThis v1.97.7
Scan saved at 16:41:37, on 17.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Ach ja, und wenn ich JavaScrip abschalte bleibt die Weiterleitung bei der Seite hängen mit dem Titlel:

Cisco Subscriber Edge Services Manager

Und auf der Seite steht:

A service redirection is in progress or has completed and is being displayed in a different window. Click here if you do not see the intended page soon.

Die aktuelle Version von HTJ ist 1.99.1, Download hier:
http://www.wintotal.de/Software/index.php?id=2022

Cheers,
Joshua

Logfile of HijackThis v1.99.1
Scan saved at 17:06:46, on 17.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Computer\Programme\Viren&Trojaner\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{145D3A82-DBA3-468C-9834-DFA791A289E0}: NameServer = 217.237.149.225,217.237.151.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{145D3A82-DBA3-468C-9834-DFA791A289E0}: NameServer = 217.237.149.225,217.237.151.97
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Die automatische Auswertung ergibt nichts auffälliges:
http://www.hijackthis.de/logfiles/2b77b4a03104ea7a51a3fa455c267cd8.html

Cheers,
Joshua

Hm, so wie's aussieht werde ich nur weitergeleitet, wenn das Modem die Verbindung neu aufbauen muß.

Ok, bei welchem Provider bist du denn ?
Manche schalten einen transparenten Proxy vor, der dich beim ersten Connect auf ne Seite umleitet (bei freenet z.B. auf die freenet-Seite).

Cheers,
Joshua

Ich bin bei 1&1 und dahin werd ich umgeleitet und wenn die das so machen, dann muß das neu sein. Es war bis her zumindest nicht so.

ich habe seit neustem genau das selbe problem, sobald ich etwas länger nichts mache im internet, z.b. einen langen text lesen (im forum, etc....) und dann weiter surfen möchte, lande ich auf der hauptseite von 1und1... nebenbei ist 1und1 mein provider....

Hi,

es ist so wie Joshua es geschrieben hat. Das ist ein neuer Service von 1und1. Man kann es zum Glück abstellen. Ansonsten wäre das für mich ein Kündigungsgrund, denn mit solch einer Bevormundung möchte ich persönlich nicht leben. Wenn du einen längeren Text liest und deim Modem die Verbindung nach der eingestellten Zeit abbaut, wirst du nach der erneut aufgebauten Verbindung immer automatisch auf das 1und1-Portal umgeleitet. Das ist sehr lästig.

Hier steht wie man es abstellt --> http://faq.1und1.de/access/neu/11_portal_portal_1und1_de/index.html

Und Hier --> http://eckes.org/article.php?sid=334

Gruß

XT560