Verdeckte Browserverbindungen

S

SirHenrY61

Hi, ich hoffe mir kann jemand weiterhelfen.

Seit einiger Zeit ist meine Internetverbindung irgendwie komisch. Viele Adressen die ich eingebe, werden nicht gefunden bzw, erst beim zweiten Mal, außerdem werden fast alle Adressen immer über einen Umweg, eine Seite mit .cc am Ende, angewählt. Oft stehen die Adressen auch mit einer Ellenlangen Zahlenkombination vorne dran in der Leiste. Und wenn ich die Verbindungen mit netstat anzeigen lasse, finden sich meistens neben den gewünschten auch noch andere (irgendwas mit the-panet.com oder so).

Nachdem ich mich hier schon mal umgesehen hatte, konnte ich zumindestens schon mal einige Reg-Veränderungen rückgängig machen, die Start und die Search Page waren dort verändert von Search-the-web oder so ähnlich. Das oben genannte Problem ist aber bis jetzt nicht behoben.
Adaware habe ich eben mal runtergeladen, das hat 32 Dateien gelöscht, gebracht hats nichts, was könntet Ihr mir noch empfehlen?? Ich weiß nicht recht was ich davon halten soll???
 
SirHenrY61 schrieb:
... was könntet Ihr mir noch empfehlen?? Ich weiß nicht recht was ich davon halten soll???
Zum Vergrößern anklicken....

1. Auch mal mit Spybot überprüfen!

2. Hijack-This herunterladen und das Ergebnis hier posten, dann wird gefixt!

3. Keinen IE nutzen! - besser Mozilla oder Opera!
 
Captain Picard schrieb:
Noch besser Firebird , schneller und handlicher (auch von Mozilla)
Zum Vergrößern anklicken....

... oder den feurigen Fuchs! :) Bald wird Version 0.9 erscheinen. Den Firefox tunen und dann noch ein paar nützliche Erweiterungen ... den Reklameblocker zum Beispiel ...

Mozilla-Erweiterungen

... und schon hat SirHenrY61 einen modernen Browser, der sich an die W3C-Empfehlungen hält!
 
ja hm nutze natürlich IE 5 bzw. den T-Online Browser...hab hier irgendwo gelesen, das wäre praktisch das selbe wie IE. ok danke erstmal ich werds mal eben ausprobieren..
 
puuh, ok soweit hab ich alles gemacht wie angeordnet. also Spybot hat verschiedene Dingers gefunden und entfernt, womit jetzt auch diese seltsame Umleitung auf die komische ehttp.cc seite weg ist, und andere Seiten sind jetzt auch nicht mehr aktiv. Komischerweise muss man jetzt aber immer das http:// vor jede Adresse tippen, wieso geht denn nicht mehr nur www.??? also wenn ihr mir noch schnell sagt wie ich das zurückkriege, dann bin ich total glücklich
danke erstmal
 
guckst du:
 

Anhänge

  • auto.jpg
    auto.jpg
    53,7 KB · Aufrufe: 365
In dem Ordner

C:\winnt\system32\drivers\etc gehen. Dort die Datei HOSTS mit dem Editor öffnen.

Dann folgenden Eintrag setzen
Code: 
web.de      217.72.195.42

Zwischen web.de und der IP Adresse den Abstand durch drücken der Tabulatortaste erzeugen.

In der Kommandozeile
Code: 
ping localhost
und
Code: 
ping web.de
eingeben und das Ergebnis posten.
 
Es zeigt dass der Name web.de zur korrekten IP aufgelöst wird, und eine physikalische Verbindung zu Web.de hergestellt werden kann. Das schließt eine Menge Fehler aus.

Weitere Fehlerquelle wäre der MTU Wert
Beim Client den MTU Wert auf 1492 Bytes, besser auf 1300 Bytes zurücksetzen. Den genauen MTU können Sie mit

PING -l MTU Ziel-IP

ermitteln, wobei MTU ein Wert zwischen 32 Byte und 65527 Byte sein kann. Sie können z.B. mit

ping -l 1300 Ziel-IP

beginnen und die Länge der ECHO-Pakete schrittweise in Richtung 1500 erhöhen. Den höchsten Wert, bei dem ein verlustloser Ping möglich war stellen Sie dann am Client ein. Clientseitig wird der MTU über folgenden Registry Key eingestellt: HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\Interfaces Im Unterschlüssel Interfaces suchen Sie den Adapter mir Ihrer IP Adresse heraus. Falls Sie diese nicht wissen, dann können Sie sie mit dem Befehl IPCONFIG ermitteln.

Den MTU setzen Sie, in dem Sie im Registrieungseditor im Menu auf Bearbeiten -> Neu -> DWORD Wert gehen. Hierdurch entsteht in der rechten Ansicht an unterster Stelle des Registrierungseditors eine neue Zeile Neuer Wert #1. Ändern Sie Neuer Wert #1 in MTU. Klicken Sie dann auf Bearbeiten -> Ändern und stellen Sie bei Basis zunächst Dezimal ein. Geben Sie danach im Feld Wert den gewünschten MTU Wert ein. Starten Sie den Rechner neu und testen Sie die Verbindung.
Zum Vergrößern anklicken....
 
puuuh, ok aber ist das jetzt immer nur für eine einzige Seite gültig?? oder für alle? ich mein das Problem liegt ja nicht bei web.de sondern bei allen Seiten die ich irgendwie aufrufen will.
na ich mach erstmal
*10 minuten später*
ok also der Wert wäre 1464, wobei ich aber diesen Ordner im Regedit nicht finden kann, tja, wäre ja auch zu toll wenns auf Anhieb klappt. :crazy:
 
Eine weitere Möglichkeit ist ein Fehler im Cache des Internet Explorer.
Extras -> Internetoptionen -> Cookies löschen, Dateien löschen
-> Einstellungen -> Objekte anzeigen und alle Plugins reparieren (unnütze Plugins oder solche dubioser Herkunft löschen).
Außerdem sollte der Cache des IE in folgendem Verzeichnis liegen:

%userprofile%\Lokale Einstellungen\Temporary Internet Files

(In Ermangelung anderer Angaben gehe ich von WinXP aus).
 
Moin, ok ich hab jetzt mal Hijackthis laufen lassen, hier das Ergebnis:
hoffe Ihr findet noch irgendwas, was helfen könnte

Logfile of HijackThis v1.97.7
Scan saved at 08:30:58, on 05.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVAE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\HP DESKJET 610C SERIES\EREG\REMIND32.EXE
C:\PROGRAMME\ADOBE\ACROBAT 6.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PGSEXE.EXE
C:\T-Online4\BSW4\ONLINE.EXE
C:\T-ONLINE4\BSW4\TODUCALC.EXE
C:\T-ONLINE4\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\DESKTOP\HENRY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://.....101.250/sbms/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ho....age.com@www......nder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ho....age.com@www....nder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ho....com@www. ...nder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.t-online.de
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [F-STOPW.EXE] C:\Programme\FSI\F-Prot\F-STOPW.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKCU\..\Run: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Reminder-hpc41004.lnk = C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: AIM (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted Zone: http://suche.web.de
O15 - Trusted Zone: http://www.gmx.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.re.......187195715/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
 
Ich würde das Zeug entfernen:
Code: 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://.....101.250/sbms/ 
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ho....age.com%[email protected]/search/ (obfuscated) 
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ho....age.com%[email protected]/search/ (obfuscated) 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www. ...nder.cc/search/ (obfuscated) 
O13 - WWW. Prefix: http://%65%68%74%74%70%2E%63%63/?
Wenn du dem Internet Explorer treu bleiben willst, dann wäre ein Update auf Internet Explorer 6 nicht ganz verkehrt:
http://www.microsoft.com/downloads/...FamilyID=1e1550cb-5e5d-48f5-b02b-20b602228de6
 
:D
heyho, na endlich, ich hatte es schon fast nicht mehr geglaubt aber jetzt funktioniert wieder alles. habe den IE upgedatet, das hats gebracht.
So ich hab aber noch ne Frage: Meint Ihr mit solchem Browserhijacking könnte auch Kreditkarten-Betrug betrieben werden?? Auf meine Kosten??
Oder is das total abwegig?
 
Zurück
Oben