IE Startseite

A

Anonymous

Auch ich habe das Problem. Die Seite heisst "great......biz"

Die Tipps auf Dialerschutz habe ich schon probiert, selbst die Registry, erfolglos.
ICh wollte dann IE deinstallieren, doch unter den Systemeinstellungen bei Software find ich nix!? Geht das garnicht?

Und mein AntiVir lässt sich auch nicht mehr starten, wobei ich nicht weiß, ob das damit in Zusammenhang steht. Ich habe SpyBot und adaware die neusten Versionen runtergeladen und laufen lassen.
Bei Spybot kommt immer wieder :

DSO Exploit

Bin ein echter Rookie in dieser Hinsicht. Sorry.

Zwei Fragen noch zur Registry:
-mir ist aufgefallen, dass bei "Standard" überall nix drinsteht :""
Ist das normal?
-unter dem Pfad "Arbeitsplat\HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" bzw. "..Internet Settings\P3P\History"
sind alle nur erdenklichen Internetseiten gespeichert. Kann ich diese gefahrlos löschen?? Vielleicht hilft das??


URL editiert , siehe NUB tf/mod
 
MamboNumber5 schrieb:
ICh wollte dann IE deinstallieren, doch unter den Systemeinstellungen bei Software find ich nix!?
Der IE6 kann nicht deinstalliert werden. Es geht allenfalls ein Rollback auf die Vorgängerversion, wenn das System ursprünglich mit der Vorgängerversion aufgesetzt wurde. Allerdings sollte im Softwareapplet eine Reparaturmöglichkeit vorhanden sein.
-mir ist aufgefallen, dass bei "Standard" überall nix drinsteht :""
Ist das normal?
Meistens ja.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
Dort gehört nur
Code:
(Standard)    REG_SZ
rein.
.Internet Settings\P3P\History"
Dieser Schlüssel wird zum Betrieb des IE6 nicht gebraucht und kann gelöscht werden. Falls du diesen Schlüssel meinst
Code:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
dann lass ihn stehen. Es sind deine Cookie-Einstellungen.
 
erste Hinweise..

Danke schonmal für die Tipps!
Nur für meine Startseite bin ich jetzt immernoch nicht schlauer...

Ich habe mal nach einem Reparaturprogramm geschaut, aber da is leider keines.
Aber es gibt die Systemwiederherstellung!!
Ist das ein Mittel um den Mist loszuwerden?
Das ist doch im Prinzip wie eine Fotographie des PC zu einem bestimmten Zeitpunkt- wenn da Dialer (der jetzt weg ist) und Hijacker noch nicht drauf waren, müsste das doch gehen?! Aber alles andere was ich in der Zeit gespeichert hab ist dann halt auch weg, richtig?
 
Re: erste Hinweise..

MamboNumber5 schrieb:
Danke schonmal für die Tipps!
Nur für meine Startseite bin ich jetzt immernoch nicht schlauer...
Start -> Ausführen -> GPEDIT.MSC eingeben und OK drücken
Im Gruppenrichtlinientool:
In der linken Ansicht - Richtlinien für lokaler Computer -> Benutzerkonfiguration -> Windows-Einstellungen -> Internet Explorer Wartung -> URLs wählen
In der rechten Ansicht auf 'Wichtige URLs' doppelklicken -> URL für die Startseite anhaken und den gewünschten URL eingeben. Alles mit OK bestätigen.
Ich habe mal nach einem Reparaturprogramm geschaut, aber da is leider keines.
Zu C:\Programme\Internet Explorer browsen und dort die 'IE6SETUP.EXE' ausführen.
Aber es gibt die Systemwiederherstellung!! Ist das ein Mittel um den Mist loszuwerden? Das ist doch im Prinzip wie eine Fotographie des PC zu einem bestimmten Zeitpunkt- wenn da Dialer (der jetzt weg ist) und Hijacker noch nicht drauf waren, müsste das doch gehen?! Aber alles andere was ich in der Zeit gespeichert hab ist dann halt auch weg, richtig?
Lade die aktuellen Patterns von deinem Virenscanner von der Homepage des Herstellers herunter, boote im abgesicherten Modus und lass einen 'Full Scan' deines Virenscanners laufen. Vor einer Systemwiederherstellung solltest du halt wichtige Dokumente sichern (zB auf CD oder USB Stick).
 
HiJackThis-Log

Logfile of HijackThis v1.97.7
Scan saved at 12:31:11, on 29.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVGCTRL.EXE
D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVSCHED32.EXE
C:\WINDOWS.000\SYSTEM\BRMFRSMG.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\CONFIG\EREG\REMIND32.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\POPUP\SMARTUI.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\PPLINKS.EXE
C:\WINDOWS.000\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\GMX PROGRAMME\GMX INTERNET MANAGER\GMX_INTERNET_MANAGER.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS.000\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://great....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://great....biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 24***
O4 - HKLM\..\Run: [xBrotherMeCom] C:\BRME\BrMeCom.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\PROGRAMME\COREL\COREL GRAPHICS 11\REGISTER\REGISTRATION.EXE /title="Corel Graphics Suite 11" /date=053004 serial=DR11CEG-0378157-KAL
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE
O4 - Startup: Brother SmartUI PopUp.lnk = C:\Programme\ScanSoft\PaperPort\PopUp\SmartUI.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38116.1816898148
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\MAIN.MHT!http://petite-virgins.biz/dl/adv74/x.chm::/load.exe


Also hier mal die HiJack This Daten.

Ich habe versucht GPEDIT.MSC auszuführen, aber er findet die Datei nicht.
Die anderen zwei Tipps mit IE6 Setup und Virenscan probier ich jetzt mal..

Danke!

[Virenscanner: einige URLs "unkenntlich" gemacht]
 
Re: HiJackThis-Log

MamboNumber5 schrieb:
Logfile of HijackThis v1.97.7
Scan saved at 12:31:11, on 29.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Bei Windows ME gibt es natürlich keine Gruppenrichtlinien und beim IE5.5 auch keine ie6setup.exe. Ich bin eigentlich davon ausgegangen, dass du Windows XP hast. Den IE solltest du schleunigst auf Version 6 updaten:
http://www.microsoft.com/downloads/...FamilyID=1e1550cb-5e5d-48f5-b02b-20b602228de6
Danach unbedingt prüfen, ob es sicherheitsrelevante Updates für dein System gibt:
http://v4.windowsupdate.microsoft.com/de/default.asp
 
Diese fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://great....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://great....biz/
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\MAIN.MHT!http://petite-virgins.biz/dl/adv74/x.chm::/load.exe


Was ist das denn?
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 24***
 
peinlich...

..sorry, ich dachte immer ich hätte IE6. Bin halt ein waschechter Rookie...
javascript:emoticon('0:)')

Ich habe jetzt im abgesicherten Modus mit AntiVir gescannt.
Dabei kam folgende Meldung:

C:\_RESTORE\ARCHIVE
FS108.CAB
ArchiveType: CAB (Microsoft)
--> A0008156.CPY
[FUND!] Ist das Trojanische Pferd TR/Dldr.Lamdez.01
--> A0008162.CPY
[FUND!] Ist das Trojanische Pferd TR/Dldr.Harnig.F.2
--> A0008176.CPY
[FUND!] Ist das Trojanische Pferd TR/SPY.Banker.AG.2
FS118.CAB
ArchiveType: CAB (Microsoft)
--> A0008367.CPY
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
--> A0008391.CPY
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/400474 (Dialer)


Zudem hieß es, dass diese nicht gelöscht werden können.
Wie krieg ich die manuell weg? Den ganzen Ordner (z.B. FS118.CAB)
löschen? solange es nicht schadet?!
 
@virenscanner

"Das" sollte mein Bildbearbeitungsprogramm sein, das bei der Digi dabei war.
Nix besonderes.

Fixen heisst löschen? javascript:emoticon(':roll:')
javascript:emoticon(':roll:')
 
Fixen

Hab es gecheckt, gemacht,
aber es kommt immer wieder, zumindest die ersten sechs mit der tollen website!
 
neues Log

Hier nochmal ein neues Log:

Logfile of HijackThis v1.97.7
Scan saved at 15:33:44, on 29.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://.....biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://.....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://.....biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://.....biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://.....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://......biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 24***
O4 - HKLM\..\Run: [xBrotherMeCom] C:\BRME\BrMeCom.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\PROGRAMME\COREL\COREL GRAPHICS 11\REGISTER\REGISTRATION.EXE /title="Corel Graphics Suite 11" /date=053004 serial=DR11CEG-0378157-KAL
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE
O4 - Startup: Brother SmartUI PopUp.lnk = C:\Programme\ScanSoft\PaperPort\PopUp\SmartUI.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38116.1816898148
 
Versuche mal folgendes:
Abgesicherter Modus: Mit HTJ scannen und fixen, booten
Wieder abgesicherten Modus wählen, erneut mit HTJ scannen.
Sind die search.... - Einträge dann auch wieder da?
 
Entschuldigung, wenn ich mich hier einklinke. Gibt es bei Windows ME eine Wiederherstellungsfunktion - deaktiviere die mal.

Denke mal über einen Browser-Wechsel nach!
 
Re: peinlich...

MamboNumber5 schrieb:
Zudem hieß es, dass diese nicht gelöscht werden können.Wie krieg ich die manuell weg? Den ganzen Ordner (z.B. FS118.CAB)
löschen? solange es nicht schadet?!
Schalte die Systemwiederherstellung ab und starte den Rechner neu. Das sollte die infizierten Dateien löschen. Wenn du die Dateien dort läßt, dann macht das zwar im Moment nichts; beim nächsten Restore spielst du die Trojaner aber wieder auf dein System zurück.
 
Fixen im abgesicherten Modus...

...wenn ich dann wieder boote, und in den abgesicherten Modus gehe, nochmal scanne, erscheinen die Seiten nicht mehr im Protokoll. Sobald ich dann aber wieder im normalen Modus bin, sind sie wieder da
 
Systemwiederherstellung deaktiviert

Jetzt ja!

Jetzt versuch ich das ganze nochmal mit hoch- runter und hin und herfahren ;) Vielleicht ists dann weg!

Darf ich dann die systemwiederherst. garnicht mehr aktivieren???
Oder muss ich da was bestimmtes vorher löschen??
 
Zurück
Oben