Hallo Leute,
neuerdings wird meine Startseite bei meinem Internetexplorer 6 in unregelmäßigen Abständen auf eine lokale (c:\winnt\homepage.htm) geändert. Kennt jemand den Verursacher? Welche *.exe, *.dll oder *.js Datei ist denn dafür zuständig?
Ich habe WINNT 4.0 mit SP6. Als Internetexplorer habe ich den MS-Internetexplorer 6.0
Danke...
MfG. Hexagon
GarfTermy 
hexagon „Startseite ändert sich selbstständig.“
abhilfen?
* keine "***sites" mehr besuchen
* ad aware
* spybot search and destroy
* cw shredder
* brain 1.1 (neustes update)
mit msconfig oder auch mit statuplist kannst du nach anwendungen suchen und auch die quellpfade herausbekommen.
;-)
Zaphod hexagon „Startseite ändert sich selbstständig.“
... gibts die Seite? Im Systemverzeichnis hat eine HTML-Datei nichts verloren. Wenn es sie gibt, steht evtl. ein Script im Quelltext?
HTH, Z.
hexagon Zaphod „... gibts die Seite? Im Systemverzeichnis hat eine HTML-Datei nichts verloren....“
Hallo,
diese 9 KB große lokale homepage.htm habe ich mir mal in einem Editor angesehen. Die besteht zu 99,9% aus JavaScript. Alles an einem Stück und ohne Zeilentrennung. Und ausserdem kann ich mich nicht daran erinnern, laut Aussage von Garftemy, jemals eine XXX-Site besucht zu haben. Natürlich ist mir klar, dass ich mir das aus dem Internet gefangen habe. Aber es muss doch um Himmels Willen irgendein Dienst, Anwendung oder ähnliches starten, die das verursacht. Wenn ich das wüsste, könnte ich die Ursache killen. Wenns was nützt: Bei der homepage.htm ist das System-, ReadOnly und Hiddenattribut gesetzt.
MfG. Hexagon
Zaphod hexagon „Hallo, diese 9 KB große lokale homepage.htm habe ich mir mal in einem Editor...“
eine derartige Datei hat im Systemverzeichnis nichts verloren!
.... Kiste umgehend vom Netz, im ganzen Netz Virenscan mit aktuellen Signaturen. Ich würde zur Sicherheit neu installieren ...
HTH, Z.
Tilo Nachdenklich hexagon „Startseite ändert sich selbstständig.“
Werf den Virenscanner an. Verlass Dich nicht drauf wenn die Meldung kommt alle Viren entfernt. Dann können immer noch DLLs und exe-Dateien herumfleuchen. Suche übers die C-Partition nach Dateien mit exe und dll mit dem Zeitraum der Infektion.
Alles mögliche leeren, Browser-Cache, Verlauf, Inhalt vom Temp-Ordner, Papierkorb und Windowsreparturmechanismen die gelöschte Dateien speichern. Manchmal lassen sich die Dateien erst nach Registry-Räumaktion und Neustart löschen. In der Registry nach den Dateien suchen und dort nur aus den Runschlüsseln entfernen. Im Klartext: NICHT aus den Schlüsseln des Virenscanners entfernen!!
Auch eine Text-Suche nach dem Namen der Verursacherdatei kann nützlich sein (und ewig dauern) und einen Hinweis auf andere Seuchdateien liefern (beliebt sind Keylogger), wenn man dann in der Datei liest (mit einem Editor).
hexagon Nachtrag zu: „Startseite ändert sich selbstständig.“
Hallo,
danke für Euere Infos. Ich bin dem Problem selbst auf die Spur gekommen. Es war eine Datei odbc.hta. Offenbar hadelte es sich hierbei um irgendeinen Spezialscript oder sonst was. Als ich mir die Datei im Editor angesehen habe, konnte ich nur Hiroglyphen aus der Datei lesen. Offenbar hat sich die genannte Datei einen Script aus dem Internet geholt, der bei der Windows-Anmeldung in einer unscheinbar kleinen DOS Box abgearbeitet wurde. Nachdem ich in der Registry diese Datei entfernt habe, und diese Datei auf der Platte gelöscht habe, ist dieses Phänomän nicht mehr vorgekommen.
MfG. Hexagon
hexagon Nachtrag zu: „Startseite ändert sich selbstständig.“
Hallo,
bezüglich unserer Unterhaltung im Chat am 23.01. habe ich doch noch so eine misteriöse *.hta Datei gefunden. Ich habe sie in den Cache-Nickles-FTP in Dein Verzeichnis als *.txt Datei gelegt. Die Zugangsdaten zu meinem FTP-Server solltest Du noch wissen, oder? Wenn Du die geladen hast, schmeisse sie bitte auf meinem FTP-Server weg.
MfG. Hexagon
Zaphod hexagon „Für Zaphod.“
hexagon Zaphod „... danke, schaue ich mir an. Gruß, Z.“
Das ist ja wirklich interesant, was man von ausserhalb alles aus meinem Webserver lesen kann. Habe das soeben der Report-Datei entnommen, die Du mir in mein Ordner gespielt hast. Ich habe lediglich den Port 80 und 21 auf meinem Router zu meinem Webserver geforwardet. Aufgrund meiner sehr bescheidenen Englischkenntnisse werde ich also darum gebeten, meinen Apache zu updaten, da da diverse Sicherheitslöcher gefunden wurden. Interessant ist auch zu wissen, dass die Variabelen aus diversen *.php Scripts ans Tageslicht gekommen sind. Aber alle Variabelen und PHP Dateien wurden nun doch nicht gefunden. Wie auch immer: Diese ominöse *.hta hat meinen Webserver niemals gesehen. Die ist sang- und klanglos auf der Platte meiner NT Workstation verschwunden.
MfG. Hexagon
