Sie sind nicht angemeldet.

  • Anmelden

internet explorer oeffnet immer die selbe seite?

DRDK_Jack

Profi

  • »DRDK_Jack« ist der Autor dieses Themas

Beiträge: 574

  • Nachricht senden

1

15.04.2004, 17:12

internet explorer oeffnet immer die selbe seite?

Hallo,

ich habe seit mehreren tage das problem das ich keine seiten mehr im internet explorer aufrufen kann.

Immer wenn ich veruche z.b. auf www.google.com zu gehen oeffnet er wieder diese pseudo suchseite mit porno werbung.

unter address leiste ruft er scheinbar dabei die datei c:\windows\start.chm auf und noch irgendwas von einer start.html

selbst wenn ich die start seite auf www.google.com stelle komme ich nie auf eine andere seite da er dies direkt wieder zurueck aendert, bzw. einfach diesen start.chm kram vorne weg ausfuehrt.
Hat das vielleicht schonmal jemand gehabt?

Bisher habe ich folgendes ausprobiert:
cache / temp files loeschen
suspekte programme dienste beenden
im msconfig ueberprueft ob das irgendwas mitstartet
virenscanner laufen lassen
adaware 7 laufen lassen

alles ohne fruchtbare erfolge.

waere sehr dankbar fuer rat....

mfg
Jack

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »DRDK_Jack« (15.04.2004, 17:13)

disaster

Erleuchteter

Beiträge: 11 781

Beruf: GER

  • Nachricht senden

2

15.04.2004, 17:29

Da hast Du wohl auf einer XXX-Seite gesurft
und Dir was böses eingefangen ;)

Ist imo ein Virus, der Deinen Explorer "gepatched" hat,
auch "browser highjacking" genannt.

Es gibt Tools, die sowas entfernen ... irgendwo hatte ich da auch mal was aber bin auf der Arbeit :(

Versuch´s mal hiermit und lad Dir ad-aware 6.0 runter, damit solltest Du´s loswerden.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »disaster« (15.04.2004, 17:32)

CF_Faithhealer

Erleuchteter

Beiträge: 8 588

Beruf: GER

  • Nachricht senden

3

15.04.2004, 18:06

hijackthis suchen mit google

_JoD_Dragon

Erleuchteter

Beiträge: 4 750

Wohnort: Krefeld

Beruf: GER

  • Nachricht senden

4

15.04.2004, 18:08

Zitat

adaware 7 laufen lassen


Zitat

lad Dir ad-aware 6.0 runter


O_o

Erstmal ad aware 7 gibts net und mit 6 wird mans net los ^^

CWshredder oder HiJackthis helfen dir

http://www.spywareinfo.com/~merijn/downloads.html

DRDK_Jack

Profi

  • »DRDK_Jack« ist der Autor dieses Themas

Beiträge: 574

  • Nachricht senden

5

15.04.2004, 18:54

CWshredder oder HiJackthis

vielen dank! hat direkt geholfen.

Ansonsten dachte ich es waere ad aware 7, heisst aber bulletproofware, und hat jedenfalls auch nix geholfen.

Vielen dank an euch beide nochmals!

DRDK_Jack

Profi

  • »DRDK_Jack« ist der Autor dieses Themas

Beiträge: 574

  • Nachricht senden

6

15.04.2004, 19:10

hmm da hab ich mich wohl ein bisschen zu frueh gefreut.

sowie ich den browser schliesse und wieder oeffne hab ich alle registry keys wieder.

Ich muss also nach jedem browser restart das hijackthis program ausfuehren...

Irgend eine idee wo das noch haengen koennte??

So ein anti hijackthis tool konnte deren ihr scanner nicht finden...

Kruemelmonster

Profi

Beiträge: 825

Beruf: GER

  • Nachricht senden

7

15.04.2004, 19:36

Guck erst mal, ob Du im Task-Manager die Datei SP.exe (oder ähnlich, SP1.exe etc) unter Prozesse findest. Sollte das der Fall sein, diese beenden (Prozessstruktur beenden).

Dann HijackThis ausführen, die verdächtigen Registry-Keys löschen. Dann die HD nach der SP.exe durchsuchen. Sie ist normalerweise 2x zu finden, u.a. im Prefetch-Ordner (mit einer erweiterten Endung SP.EXE.PF oder sowas, also nach SP.* suchen). Beide Dateien löschen und neustarten.

DRDK_Jack

Profi

  • »DRDK_Jack« ist der Autor dieses Themas

Beiträge: 574

  • Nachricht senden

8

16.04.2004, 10:17

weder noch...

habe alle prozesse beendet die mich windows beenden lies, ( login und explorer mal ausgenommen) habe dann nochmal cache und temp dir. geloscht und beide programme rueber laufen lassen, sowie viren scanner.

das kann doch nicht wahr sein?? wo nimmt er die info her?

Mein freund meinte es gaebe auch noch registry eintraege die programme / scripte beim startup direkt in den IE laden. aber an den schluessel stellen finde ich auch nix :/

ich glaub irgendwann mach ich einfach nen restore von letzter woche... wobei das eigentlich nicht die loesung sein kann.

nebenfrage, vorausgesetzt ich werd das ding wieder los, bzw. ich mach ein restore. Wie kann ich mich in zukunft vor solchen trojaner schuetzen?
( mal internet kabel rausziehen ausgenommen..)

Kruemelmonster

Profi

Beiträge: 825

Beruf: GER

  • Nachricht senden

9

16.04.2004, 10:56

Es gibt noch "msconfig", damit kannst Du Dir die Programme anzeigen lassen die beim Start geladen werden.

Ansonsten, erstell mal mit HijackThis ein Log (Scan -> Save Log) und poste das hier mal. Vielleicht sieht man da ja was, was Du übersehen hast.

kesselchen

Meister

Beiträge: 2 297

  • Nachricht senden

10

16.04.2004, 11:28

du hast aber nicht den cool web search hijack oder?
in diesem falle:

http://forums.techguy.org/showthread.php…477#post1576477

DRDK_Jack

Profi

  • »DRDK_Jack« ist der Autor dieses Themas

Beiträge: 574

  • Nachricht senden

11

16.04.2004, 13:38

@ Kruemmel msconfig hatte ich geprueft. es startet GAR nix :), werde wenns nicht voran geht mal das log posten

@ Kessel, hmm ich bin nicht offline gewesen waehrend der prozedur... werd das mal wie dort beschrieben heute abend ausprobieren

vielen danke,
Jack

paul_allen

Fortgeschrittener

  • »paul_allen« wurde gesperrt

Beiträge: 229

  • Nachricht senden

12

16.04.2004, 20:59

also mit msconfig wirst du nich fündig,mit adware auch nich..
hijack this is ok,findet aber wenn dann nur die reg einträge,die kannst zwar löschen,aber wenn du,wie ich vermute den byte verify trojaner oder den cool blabla hast,nützten dir die reg sachen garnix,weil er immer wieder hochläd und sich unter anderen dll namen einträgt,ich hab mit mindestens 10 versch. viruscannern versucht das teil zu finden,einer hats nach mehrmaligen veruchen geschafft,das war bitdefender !
ansonsten kommt dann nur noch format c in frage .

Kruemelmonster

Profi

Beiträge: 825

Beruf: GER

  • Nachricht senden

13

16.04.2004, 23:43

"nützten dir die reg sachen garnix,weil er immer wieder hochläd und sich unter anderen dll namen einträgt"

Genau das ist ja der Sinn des HiijakThis-Tools. Nämlich alle Einträge anzuzeigen die u.a. irgendetwas laden. Muss man natürlich manuell machen und erst mal alle Einträge rausnehmen, die einem nichts sagen. Ausserdem legen sich solche Viren/Trojaner meist ins Windows oder System32 Verzeichnis. D.h. diese Einträge sollte man ganz speziell überprüfen.

HijackThi smacht nichts automatisch, aber man sollte eh wissen, was man starten will und was nicht. Offline bleiben sollte bei Virensuche eigentlich Pflicht sein, denn mit aktiver Verbindung bringt das meist sonst nicht viel.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Kruemelmonster« (16.04.2004, 23:44)

Snaile

Erleuchteter

Beiträge: 7 229

  • Nachricht senden

14

17.04.2004, 00:27

Tjo des kommt von der Notgeilheit von Einigen von hier X(

_JoD_Dragon

Erleuchteter

Beiträge: 4 750

Wohnort: Krefeld

Beruf: GER

  • Nachricht senden

15

17.04.2004, 01:05

Zitat

Tjo des kommt von der Notgeilheit von Einigen von hier


Hör mal zu du Klappspaten wenn du keine Lösung bzw Idee hast brauchst du keinen mit deinen total unsachlichen Aussagen, die du aus dem nichts holst, nerven

Boah da könnt ich mich echt aufregen

Null peil von nix aber irgendwas blubbern

So back to Topic

Format C: :D

Snaile

Erleuchteter

Beiträge: 7 229

  • Nachricht senden

16

17.04.2004, 01:49

Nee Format C hilft in dem Fall imo nicht

Weil ich vermute der wird dann sofort wieda daruaf zugreifen !

Ich hatte auch mal sowas (natürlich ohne mein zutun eingefangen)

Da hat ein Dialer ständig meine Inet Connection gehalten und so konnte ich mich nicht einwählen ^^

PS: Sry für meine Aussage aber war heute Abend bissl dumm drauf^^

DRDK_Jack

Profi

  • »DRDK_Jack« ist der Autor dieses Themas

Beiträge: 574

  • Nachricht senden

17

17.04.2004, 11:08

Morgen,

erstmal vielen dank fuer eure beitraege.

Ich hab das ganze nochmal bzw. 5x offline gemacht.
Denke ich hatte irgendwo einen fehler z.B. reg eintraege rausgenommen aber im start menue die dll wieder laden lassen oder so.
Jedenfalls nach dem ich alles 5 mal immer wieder geprueft habe, ( msconfig, hijackthis, CWshredder, virenscanner, temp und cookies, startseite sowie die dll loeschen und prozesse monitoren), hab ichs doch tatsaechlich geschafft

Format C haette wahrscheinlich schon geholfen, wie soll er denn darauf noch zugreifen ohne internet verbindung ect? und nach dem neustart zum vom CD booten, waere auch alles ausm speicher raus. Aber das ist nicht so wirklich elegant ;)

Vielen dank fuer eure hilfe.

Eine letzte frage, wie schuetze ich mich in Zukunft davor?
Ich bin mir nicht sicher wie ich das ding bekommen habe, und war auch nicht bewusst auf derartigen seiten.

Auf der HiJackThis seite meinten sie das es noch unbekannt sei welche popups dies verursachen.
Ausserdem meinten sie es reiche die verbuggte MS JVM runter zu schmeissen und sich die originale von Sun zuholen.

Beste Gruesse,
Jack

Der_Zorn_Gottes

Meister

Beiträge: 1 948

Beruf: GER

  • Nachricht senden

18

17.04.2004, 11:31

Zitat


Eine letzte frage, wie schuetze ich mich in Zukunft davor?


Browser wechseln. Hat zumindest bei mir geholfen, als ich die Faxen dick hatte.

_JoD_Dragon

Erleuchteter

Beiträge: 4 750

Wohnort: Krefeld

Beruf: GER

  • Nachricht senden

19

17.04.2004, 11:41

Mozilla FireFox ohne Java roxx

Da gehen keine Popups auf ist schnell etc.

Hat aber auch nachteile

funzt nicht mit zone.com und einige seiten gehen nicht richtig aber dafür haste ja noch den IE

Kruemelmonster

Profi

Beiträge: 825

Beruf: GER

  • Nachricht senden

20

17.04.2004, 11:46

Zuallerserst würde ich mir allem Hotfixes bei Microsoft ziehen. Gegen den CWS-Hijack gibt es schon seit Monaten ein Security-Fix bei MS.

kOa_Maglor

Profi

Beiträge: 909

Wohnort: München

Beruf: GER

  • Nachricht senden

21

17.04.2004, 17:41

das kommt mir bekannt vor jedesmal wenn ich www.google.de eingebe kommt dauernt das:

There is no website configured at this address.



You are seeing this page because there is nothing configured for the site you have requested. If you think you are seeing this page in error, please contact the site administrator or datacenter responsible for this site.

About cPanel:


cPanel is a leading provider of software for the webhosting industry. If you would like to learn more about cPanel please visit our website at http://www.cpanel.net/. Please be advised that cPanel is not a webhosting company

Kruemelmonster

Profi

Beiträge: 825

Beruf: GER

  • Nachricht senden

22

17.04.2004, 19:28

Das CPanel Problemist relativ einfach zu lösen:

in /windows/system32/driver/ findest Du eine Datei "hosts" (ohne Endung). Diese Datei wird bei der DNS-Abfrage miteinbezogen und zwar bevor externe DNS-Server angefragt werden.

127.0.0.1 localhost

Das ist der einzige Eintrag der da drin stehen müsste. Wahrscheinlich steht bei Dir noch ein weitere drin mit:

xxx.xxx.xxx www.google.de

oder so in der Art. Diesen Eintrag löschen.

Dieser Eintrag verursacht, dass wenn Du www.google.de eingibst, er auf die angegebene IP-Adresse geht (und das ist wahrscheinlich die ip-Adresse der cPanel Seite). Die hosts-Datei ist sowas wie ein Adressbuch, wo Inter/Intranetadressen IPs zugeordnet werden.

Ist übrigens sehr gut um unliebsame Werbebanner zu blocken. Einfach die Adresse des Werbeservers auf 127.0.0.1 umleiten und schon läd er sie nicht mehr :P

kOa_Maglor

Profi

Beiträge: 909

Wohnort: München

Beruf: GER

  • Nachricht senden

23

17.04.2004, 21:51

muss dich entäuschen da steht neben den text ober halb nur das

# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost

Kruemelmonster

Profi

Beiträge: 825

Beruf: GER

  • Nachricht senden

24

17.04.2004, 22:35

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Kruemelmonster« (17.04.2004, 22:40)

kOa_Maglor

Profi

Beiträge: 909

Wohnort: München

Beruf: GER

  • Nachricht senden

25

18.04.2004, 09:17

könntest du mir das erklären wie ich das machen soll mein englisch ist nich so gut^^