Luki1987
Ihr wollt Wacker sein?
|
Hey. Hab seit kurzem ein Problem mit dem Internet Explorer. Und zwar ist als Startseite immer "http:///" eingestellt (und dazu kommt dann eben die Fehlerseite "Seite kann nicht angezeigt werden - ungültige Syntax"). Hatte solche Probleme zwar schon teilweise, aber da waren immer irgendwelche funktionierenden Seiten eingestellt und nicht so was... Wenn ich die Startseite ändere (das Editfeld "Startseite" bei den Internetoptionen ist nämlich immer leer), funktioniert das für ca. 20 Sekunden oder so und dann stellt es sich wieder zurück (bzw. ist es bei jedem Neustart sowieso wieder leer). Sonst funktioniert der IE aber problemlos (also wenn ich dann oben bei der Adresse statt http:/// eben http://www.google.at oder so was eingebe, dann springt der Browser gleich dorthin)... OS-Daten: IE6 mit Win XP Prof Danke im Voraus und sorry für die Noobfrage *g*, mfG, Luki
|
watercool
Vereinsmitglied
BYOB
|
zufällig XoftSpy installiert?
|
InfiX
she/her
|
probiers mal mit about:blank
e: ohne diesem blöden leerzeichen was er da immer vorm doppelpunkt einfügt 
|
Luki1987
Ihr wollt Wacker sein?
|
@watercool: Nicht dass ich wüsste...
@Infix: Soll ich das in den Explorer eingeben oder als Startseite versuchen?
Hab beides versucht und im Explorer komm ich zu einer komplett weißen Seite (ohne Fehlermeldung) und als Startseite haut er mir sie wieder nach 10 Sekunden raus)...
Ah ja: Falls es was hilft: Aktuelles AVK ist installiert.
Thx...
|
watercool
Vereinsmitglied
BYOB
|
kenne ein paar antivir / antispy etc.. programme die nach dem scan die startseite auf http:/// umstellen (zB XoftSpy, deswegen die Frage)
|
prronto
Garage
|
Hört sich schon irgendwie nach hijack an 
|
watercool
Vereinsmitglied
BYOB
|
|
ENIAC
Do you Voodoo
|
Schau einmal in der Registry, welche Startseite eingetragen ist! Mit ausführen -> regedit und dann: HKEY_USERS\S-1....\Microsoft\Internet Explorer\Main\Start Page -- Den S-1... Ordner musst du dir halt von deinem Userkonto suchen. Im Eintrag Start Page kannst du dann jede x-beliebige URL als Startseite eintragen! Du kannst auch wahrscheinlich einfacher den Eintrag finden, indem du im Registry Editor F3 für suche verwendest und z.B. start page oder eben http:/// eingibst... hth,
|
Luki1987
Ihr wollt Wacker sein?
|
@watercool:
[quote]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:27, on 07.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\Video_deluxe_2007_PLUS\TrayServer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA7D320-4AAD-4181-8206-7FD1D60869DC}: NameServer = 213.33.99.70,80.120.17.70
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 4155 bytes
[/quote]
Danke an alle...
|
hctuB
Bloody Newbie
|
sieht gut aus
|
banjoe
Addicted
|
Ich nehme an der IE trägt die Startseite auch in die Registry ein oder?
|
watercool
Vereinsmitglied
BYOB
|
http://www.trojaner-board.de/37613-...ckthis-log.htmlkillvbs.vbs? und der hat zufällig das gleiche problem edit: oder auch nicht, die sind sich auch nicht einig dort hehe edit2: oder doch KillVBS.vbs virus
Type: VB Script
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
VB Script is a copies itself to removable drives.
Defected : after infected there is blank “ ” on Title Bar of Internet Explorer. bin ich brav? edit3: auch noch infos: http://www.thaivisa.com/forum/index...howtopic=120732
Bearbeitet von watercool am 07.09.2007, 12:55
|
hctuB
Bloody Newbie
|
http://www.trojaner-board.de/37613-...ckthis-log.html
killvbs.vbs? und der hat zufällig das gleiche problem
edit: oder auch nicht, die sind sich auch nicht einig dort hehe
edit2: oder doch
bin ich brav?
edit3: auch noch infos: http://www.thaivisa.com/forum/index...howtopic=120732 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs alter Fuchs und ich hab drübergelesen  und einen eigenen Prozess gesucht
|
Luki1987
Ihr wollt Wacker sein?
|
@Eniac: Auch probiert, wieder das gleiche Problem... @watercool: Super, sehr nice, danke... Dann werd ich das gleich mal blocken und löschen... Danke an alle, ich werd euch heut noch am Laufenden halten, ob das nach Anleitung hier ( http://www.bullguard.com/forum/10/B...http_46963.html) funktioniert hat... MfG
|
Luki1987
Ihr wollt Wacker sein?
|
Hmm, also ich hab es jetzt nach der Anleitung, die ich oben geposted hab, versucht, aber es gibt mir keinen Zugriff auf die killVBS.vbs! Zeigt immer an (auch im abgesicherten Modus, nachdem ich davor HJT drüberlaufen hab lassen - bzw. was soll ich denn da von meinen HKLM-Einträgen fixen lassen?), dass die Datei noch verwendet wird....
Arghl... Any other ideas?
Thx noch einmal...
Edit: SOLVED! Man muss zusätzlich zu den Anweisungen in der Anleitung noch den Prozess "wscript.exe" schließen, dann kann man die Registry ändern und die killVBS.vbs ohne Probleme löschen...
Danke noch einmal an alle, die mitgeholfen haben!
Bearbeitet von Luki1987 am 07.09.2007, 14:30
|
Anmeldung