Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Seltsame Url beim Aufruf MS-IE 6

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.10.2005, 20:17   #1
Wollie
 
Seltsame Url beim Aufruf MS-IE 6 - Standard

Seltsame Url beim Aufruf MS-IE 6



Ich habe meine Mail-Konten bei Web.de. Die Hauptseite von Web.de ist gleichzeitig im IE6/SP2 (und weitere Patchs) als Startseite vermerkt (Menü Extras, Befehl Internetoptionen, Reiter Allgemein). Mein OS: WinXP/SP2.

Seit heute taucht beim Aufruf des IE statt der Startseite die folgende Adresse auf:

http://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=http://web.de

Den englischsprachigen Text kann ich schulbedingt nicht entziffern. Es soll aber ein Code, der auf der Seite zu lesen ist, eingegeben werden. Der Code ist in der neuartigen hackergeschützten Form zu lesen. Ich würde gerne die Bildschirm-Hardcopy beigefügen, doch sie ist zu groß (227 Kb).

Offensichtlich ist "das gewisse Etwas" sogar ein Chamäleon. Denn lade ich einen Favoriten, erscheint die im Favoriten hinterlegte Adresse. Z. B.:

http://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=http://support.microsoft.com./newsgroups/default.aspx

In den IE-Start-Optionen (Menü Extras) ist nichts verändert. Komischerweise taucht es nicht bei jedem IE-Aufruf auf.

Kernfrage: Was ist das?
Nachfrage: Wie werde ich diese Einstellung wieder los?

Herzlichen Dank für jede ernstgemeinte Hilfe.

Wollie

Alt 31.10.2005, 20:23   #2
DEPI
 
Seltsame Url beim Aufruf MS-IE 6 - Standard

Seltsame Url beim Aufruf MS-IE 6



Hallo Wollie bitte poste ein HJT logfile nach dieser Anleitung. [http://www.trojaner-board.de/showthr...?t=17493]bitte auf die blaue schrift klicken[/url]

Lese dir am Besten auch das hier durch
__________________


Alt 01.11.2005, 22:06   #3
Wollie
 
Seltsame Url beim Aufruf MS-IE 6 - Standard

Seltsame Url beim Aufruf MS-IE 6



Hallo DEPI!

Herzlichen Dank für die angebotene Hilfe.

Ich habe zwischenzeitlich Ad-Aware und Spybot drüber laufen lassen sowie vom IE6 aus alle Cookies, temp. Int.-Adressen und den Verlauf gelöscht. Auch habe ich den MS-Tipp 813444 abgearbeitet.

Ergebnis: Zur Zeit erscheint die seltsame Seite nicht mehr.

Doch ich möchte nicht auf halbem Weg stehen bleiben. Deshalb ist die HJT-Log-Datei sowie eine Kurz-Beschreibung des Dr.-Seltsam-Effektes beigefügt. Und doch, momentan erscheint mir dieser Effekt in einem etwas anderen Licht. Denn die Seite "http://captchas.net" (das ist die Adresse, die im CAPTCHA-Bild unten rechts zu lesen ist), macht auf mich einen positiven, seriösen und vertrauenswürdigen Eindruck. Nur, wieso erscheint die englischsprachige Seite als Startseite, obwohl so nicht eingetragen?

Ich wünsche mir, das Du Erfolg haben mögest und nochmals ein Dankeschön für Deine Unterstützung.

Wollie

PS: Ich habe die angesprochenen Dateien hochgeladen, finde aber auf diese keinen Hinweis. Ergänzende Frage: Wo kann ich als "Schreiberling" erkennen, dass die Dateien tatsächlich diesem Beitrag beiliegen?
__________________

Alt 02.11.2005, 07:06   #4
El_Rey
 
Seltsame Url beim Aufruf MS-IE 6 - Standard

Seltsame Url beim Aufruf MS-IE 6



Wenn du sie nach dem Schreiben im Beitrag siehst, und auch selber wieder herunterladen kannst, sind sie hochgeladen.

Also derzeit ist das nicht der Fall.

Alt 02.11.2005, 09:41   #5
chaosman
 
Seltsame Url beim Aufruf MS-IE 6 - Standard

Seltsame Url beim Aufruf MS-IE 6



@Wollie
poste bitte ein HJT logfile nach dieser Anleitung
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

__________________
Bonus vir semper tiro

Alt 02.11.2005, 21:41   #6
Wollie
 
Seltsame Url beim Aufruf MS-IE 6 - Standard

Seltsame Url beim Aufruf MS-IE 6



Liebe Vor-Schreiber!

Das mit den Anlagen hat also nicht geklappt. Also ergänze ich meinen gestrigen Eintrag (22:06 Uhr) wie folgt:

1. Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:44:10, on 01.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
D:\BRENN-~2\Nero\InCD\InCDsrv.exe
C:\windows\system32\brss01a.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\oodag.exe
D:\Kalender, Uhrzeit\Atomuhren\Atomuhr - ElMü-Soft - PTB

Sync\PTBSync.exe
C:\windows\system32\ZoneLabs\vsmon.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\windows\system32\wscntfy.exe
D:\Firewall, Virenkiller\Zone-Alarm\zlclient.exe
D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\jusched.exe
D:\Kalender, Uhrzeit\Atomuhren\Atomuhr - ElMü-Soft - PTB

Sync\PTBSync.exe
D:\Hardware\Tastatur\H&H\MMHotKey.EXE
D:\BRENN-~2\Nero\InCD\InCD.exe
C:\windows\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\windows\system32\ctfmon.exe
D:\Registry-Hilfen und Prg\TuneUp\TuneUp 2004\MemOptimizer.exe
C:\windows\system32\HDDSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\windows\system32\taskmgr.exe
C:\windows\explorer.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\DFÜ + Internet\Anonymisierer, Tarnkappe\ArchiCrypt

Stealth\ACStealth3.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\Ati2evxx.exe
D:\DFÜ + Internet\Anti-Browser-Hijacking\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL

= h**p://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =

xxx Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyServer = h**p=localhost:8080,h**pS=localhost:8080
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

E:\Text-Verarbeitung\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class -

{AE7CD045-E861-484f-8273-0445EE161910} -

E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} -

D:\DF_INT~1\DOWNLO~1\STAR-D~1\SDIEInt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -

E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Zone Labs Client] D:\Firewall,

Virenkiller\Zone-Alarm\zlclient.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE

TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SunJavaUpdateSched]

D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PTBSync] D:\Kalender, Uhrzeit\Atomuhren\Atomuhr -

ElMü-Soft - PTB Sync\PTBSync.exe /Start
O4 - HKLM\..\Run: [KE9801] D:\Hardware\Tastatur\H&H\MMHotKey.EXE
O4 - HKLM\..\Run: [InCD] D:\BRENN-~2\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [HDInspector.exe]

D:\Hardware\Laufwerke\Festplatten, -Hilfe, -Manager und

Disk-Manager\Festplatten-Inspektor\HDInspector.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe

bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI

Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task]

"E:\Multimedia\QuickTime\QuickTime.6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [ArchiCrypt Stealth] D:\DFÜ +

Internet\Anonymisierer, Tarnkappe\ArchiCrypt Stealth\ACStealth3.exe

-HIDE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Registry-Hilfen und

Prg\TuneUp\TuneUp 2004\MemOptimizer.exe" autostart
O4 - Startup: Laufwerk C - xxx.lnk = C:\windows\explorer.exe
O4 - Startup: Laufwerk F - xxx.lnk = C:\windows\explorer.exe
O4 - Global Startup: ACStealth3.lnk = ?
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI

Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Task-Manager.lnk =

C:\windows\system32\taskmgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

present
O8 - Extra context menu item: Convert link target to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

apture.html
O8 - Extra context menu item: Convert link target to existing PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

aptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF

-

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

apture.html
O8 - Extra context menu item: Convert selection to existing PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppend.html
O8 - Extra context menu item: Convert to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

apture.html
O8 - Extra context menu item: Convert to existing PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppend.html
O8 - Extra context menu item: Download with Star Downloader -

D:\DF_INT~1\DOWNLO~1\STAR-D~1\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://E:\BRO-PA~1\MS-OFF~1\MS-OFF~1.03\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Knowledge Base Suche -

{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -

h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO

(file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche -

{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -

h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO

(file missing)
O9 - Extra button: Recherchieren -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

E:\BRO-PA~1\MS-OFF~1\MS-OFF~1.03\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload

Control) - h**ps://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl

Class) -

h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/c

lient/wuweb_site.cab?1112287532406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl

Class) -

h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/cli

ent/muweb_site.cab?1120903111125
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\windows\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother

Industries Ltd - C:\windows\system32\brsvc01a.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft

(h**p://www.altrixsoft.com/) - C:\windows\system32\HDDSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG -

D:\BRENN-~2\Nero\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. -

C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mst Defrag Service (mstDfrgS) - Unknown owner -

D:\Deframentierung\mst Defrag\mstDfrgS.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH -

C:\windows\system32\oodag.exe
O23 - Service: Atomuhr Synchronisation (PTBSync) - ElmüSoft -

D:\Kalender, Uhrzeit\Atomuhren\Atomuhr - ElMü-Soft - PTB

Sync\PTBSync.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DFÜ +

Internet\Beschleuniger;

Geschwindigkeits-Überwachung\TDSL-SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC

- C:\windows\system32\ZoneLabs\vsmon.exe

>>> Ich hoffe, ich habe es jetzt richtig gemacht <<<


2. Meine Notizen
zu der seltsamen Url. hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=http://xxx
(als direkte Ergänzung zu meinem gestrigen Beitrag (22:06):

Was ist das für eine seltsame Adresse?

Sie taucht seit heute, 31.10.2005, auf, wenn ich den Internet-Explorer aufrufe und damit die Startseite web.de geöffnet werden soll. Während der 1. Teil der Url. stets gleich bleibt, passt sich der 2. Teil der Adresse des letzten Aufrufes an.

Zum Beispiel:

hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=hxxp://www.web.de/

oder

hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=hxxp://support.microsoft.com./newsgroups/default.aspx

Beispiel (Hardcopy/Bild 1):

oder

hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=hxxp://www.archicrypt.com./

Sofern in diesem Text keine Hardkopien zu sehen sind:
Der Text der Seite, die erscheint, lautet wie folgt:

"Please identify yourself as a human
You are now using the CoDeeN content distribution network.
(If you don't know what this means, please check your brower's proxy setup.) We are trying to differentiate the service between humans and robots. Once you are recognized as human, you will be given *more bandwidth* through CoDeeNas long as you don't attempt to abuse our system afterwards.

Could you please take a moment and identify yourself as a human?

Please enter the following characters:"
(danach sind in einem Kästchen die Zeichen des CAPTCHA-Bildes einzugeben).

Übersetzung laut Google:

Kennzeichnen Sie sich bitte, wie ein Mensch Sie jetzt das zufriedene Verteilungsnetz CoDeeN benutzen. (wenn Sie nicht wissen, was dieses Mittel, bitte Proxyeinstellung Ihrer browers. überprüfen), Wir versuchen, den Service zwischen Menschen und Robotern zu unterscheiden. Sobald Sie als Mensch erkannt werden, werden Sie * mehr Bandbreite * durch CoDeeN so lang gegeben, wie Sie nicht versuchen, unser System danach zu mißbrauchen. Konnten Sie einen Moment bitte dauern und als Mensch sich kennzeichnen? Tragen Sie bitte die folgenden Buchstaben ein:

Reduziere ich die Url. auf: "hxxp://coblitz.cs.princeton.edu/", erscheint folgendes Fenster (Hardcopy/Bild 2):

Gehe ich auf "hxxp://captchas.net" (das ist die Adresse, die im CAPTCHA-Bild unten rechts zu lesen ist), gelange ich auf folgende Seite, und die erscheint positiv, seriös und vertrauenswürdig (Hardcopy/Bild 3):

Woher kommt das anfängliche verwirrende Verhalten des IE? Wie konnte sich die Captcha-Seite beim Aufruf des IE vor die Start-Seite schieben?

Herzlichen für die Hilfe.

Wollie

Antwort

Themen zu Seltsame Url beim Aufruf MS-IE 6
adresse, allgemein, als startseite, aufruf, befehl, code, einstellung, ellung, englischsprachige, erscheint, extras, favoriten, folge, folgende, frage, gewisse, gleichzeitig, heute, interne, internetoptionen, ms-ie, nichts, reiter, seite, seltsame, startseite, taucht, würde



Ähnliche Themen: Seltsame Url beim Aufruf MS-IE 6


  1. Malwareproblem beim Aufruf der Onlineplattform Steam
    Plagegeister aller Art und deren Bekämpfung - 08.11.2015 (15)
  2. Seltsame E-Mail zurück bekommen (failure notice) beim E-Mail-Versand
    Überwachung, Datenschutz und Spam - 14.09.2015 (7)
  3. Riesenproblem beim Aufruf der Chip.de-Seite
    Plagegeister aller Art und deren Bekämpfung - 31.05.2015 (11)
  4. Fehlermeldung: Uncaught exception 'SystemException' beim Aufruf der Startseite eines Forums
    Alles rund um Windows - 25.02.2014 (2)
  5. Viagra Werbung beim Aufruf einer Webseite - aber nur mit Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 19.09.2013 (11)
  6. Seltsame Meldung beim Besuch von www.geizhals.at/de
    Plagegeister aller Art und deren Bekämpfung - 11.04.2012 (7)
  7. yourtribe.ru bei Aufruf von google.de
    Log-Analyse und Auswertung - 27.11.2011 (14)
  8. Aufruf von Windows SiteTrack (ssw.msn.com)
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (7)
  9. seltsame Aktionen beim Ausführen von *.bat-Dateien
    Plagegeister aller Art und deren Bekämpfung - 24.06.2009 (6)
  10. Keine Reaktion auf Aufruf
    Plagegeister aller Art und deren Bekämpfung - 15.05.2009 (1)
  11. Seltsame Schmuddelseiten-Aufruf, aber bleibt unsichtbar
    Mülltonne - 31.12.2008 (1)
  12. Agressiver Virus bei Aufruf von Spielseite
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (0)
  13. Aufruf DFÜ-Verbindung???
    Log-Analyse und Auswertung - 27.12.2005 (9)
  14. Pobleme beim Aufruf des Taskmanagers / Regedit
    Log-Analyse und Auswertung - 18.09.2005 (3)
  15. Selbstständiger Aufruf von I-Netseiten
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (5)
  16. underrun.net aufruf beim starten von windows xp
    Plagegeister aller Art und deren Bekämpfung - 15.09.2004 (5)

Zum Thema Seltsame Url beim Aufruf MS-IE 6 - Ich habe meine Mail-Konten bei Web.de. Die Hauptseite von Web.de ist gleichzeitig im IE6/SP2 (und weitere Patchs) als Startseite vermerkt (Menü Extras, Befehl Internetoptionen, Reiter Allgemein). Mein OS: WinXP/SP2. Seit - Seltsame Url beim Aufruf MS-IE 6...
Archiv
Du betrachtest: Seltsame Url beim Aufruf MS-IE 6 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.