|
hallo zusammen, ich habe bei einem freund von mir das problem, das wenn er den ie startet immer eine pornoseite als startseite kommt. im adressfenster steht dann was mit c:\windows\start.chm usw. weiß jemand wie man das wieder weg bekommt?? ich habe es schon mit folgenden sachen probiert: AdAware SpyBot CWShredder HiJackThis SpyWare Blaster habe es aus der regedit gelöscht habe die datei selber gelöscht leider habe ich jetzt keine ideen mehr. nichts hat funktioniert. kann mir jemand helfen wie ich das wieder weg bekomme?? danke im voraus BeTZe |
so, hier auch noch die log von hijack this: Logfile of HijackThis v1.97.7 Scan saved at 10:03:16, on 08.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\Programme\totalcmd\TOTALCMD.EXE D:\Install\Antimistscheiss\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: SpywareBlaster.lnk = D:\Programme\SpywareBlaster\spywareblaster.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft\Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab BeTZe |
Hi BeTZe, willkommen an Board. [img]smile.gif[/img] MSIE: Internet Explorer v6.00 6.00.2600.0000) Bitte http://windowsupdate.com besuchen und alle Sicherheitsupdates installieren. Da müsste imho was sein... In Hijackthis fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html Such mal nach einer Datei start.html, die kann dann auch weg. Mehr fällt mir nicht auf. Danach Neustart, und dann sollte es das gewesen sein. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Ich habe genau das beschriebe Problem, und werde es auch nicht los. Ich bekomme immer diese Startseite: http://schuh.home.t-link.de/ss.jpg Habe schon die Dateien in WINNT gelöscht, aber das bringt auch nichts. HJackThis sagt das HIER , das hab ich auch schon gefixt, aber das bringt auch nichts. Was könnte mir noch helfen? Habe Win2000 und IE6 Vielen Dank, Gruss Thomas [ 09. April 2004, 12:13: Beitrag editiert von: schuh ] |
Diese Malware wgelangt über eine seit Ende letzten Jahres bekannte, aber bis dato von Microsoft noch nicht gefixte Sicherheitslücke im Internet Explorer auf die System IE-nutzender User. Das Problem wird bereits in mehreren Foren diskutiert. Eine Lösung wurde noch nicht gefunden, da mit den gängisten Mitteln bis dato keine Lokalisierung möglich war: http://spotlight.de/zforen/int/m/int...603-12378.html |
Wäre nett, wenn mir mal jemand diese htm-Datei zusenden könnte. |
Die "Start" Html? Gerne! Hier (die Start.chm und die Start.html mit WinRAR gepackt) Will mich nicht ewig mit dem Ding rumärger. Gibt es dann noch eine Alternative zum formatireren? Hilft das "reparieren" das kurz vor dem formatieren kommt auch schon? Gruss Thomas |
Wirst du bei einer Suche in der Registry nach der Datei start.chm fündig? |
Also ich habe das Problem gerade vielleicht behilfsmäßig gelöst. Ich habe "start.html" und "start.chm" beide jeweils mit dem Editor von WinXP geöffnet und den kompletten Inhalt einfach gelöscht. Nun habe ich beide Dateien schreibgeschützt und sie im Ordner gelassen. Dadurhc hoffe ich können keine neuen generiert werden und dadurch das "start.chm" nun leer ist wird meine Startseite auch nicht mehr umgeändert. zZ habe ich wieder meine alte Startseite und sie wurde auch noch nicht mehr geändert. Werde mich melden, falls ich wieder einen Rückfall hab ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von motoko: Werde mich melden, falls ich wieder einen Rückfall hab ;) </font>[/QUOTE]Ja bitte, ich bin an dem Thema sehr interessiert. mmk : Gibt es Neuigkeiten ? Hast du ein paar links für mich, ich bin, wie gesagt, sehr interessiert. Domino |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: Wirst du bei einer Suche in der Registry nach der Datei start.chm fündig? </font>[/QUOTE]Nein, nichts!!! |
</font><blockquote>Zitat:</font><hr />Original erstellt von motoko: Also ich habe das Problem gerade vielleicht behilfsmäßig gelöst. Ich habe "start.html" und "start.chm" beide jeweils mit dem Editor von WinXP geöffnet und den kompletten Inhalt einfach gelöscht. Nun habe ich beide Dateien schreibgeschützt und sie im Ordner gelassen. Dadurhc hoffe ich können keine neuen generiert werden und dadurch das "start.chm" nun leer ist wird meine Startseite auch nicht mehr umgeändert. zZ habe ich wieder meine alte Startseite und sie wurde auch noch nicht mehr geändert. Werde mich melden, falls ich wieder einen Rückfall hab ;) </font>[/QUOTE]Danke, habe es jetzt auch erstmal so laufen... |
Moin, Moin !! und Frohe Ostern !! Hab dasselbe doooofe Problem, wie schuh oben erwähnte, werd den Mist auch net wieder los!! Bin allerdings auch ein wenig ein Noob, hab also net ganz soviel Plan davon. Problem Nr. 1 (jetzt bitte nicht so dolle lachen...) wo, bzw. wie finde ich die registry??? Hab bisher über dateien suchen, dann start.chm, das miststück gefunden, dann gelöscht, runtergefahren, wieder hoch und systemwiederherstellung wieder aktiviert, einmal klappt das dann, wenn der browser dann neu gestartet wird, ist der sch**** wieder da !!??? danke für evtl antworten, und denkt bitte dran, nicht soviel fach-chinesisch, hier sitzt einer vom land... |
Hallo wsw - Welcome on Board </font><blockquote>Zitat:</font><hr /> wo, bzw. wie finde ich die registry??? </font>[/QUOTE]Jeder hat mal angefangen [img]smile.gif[/img] Du klickst auf Start - dann `Ausführen` anklicken und regedit eingeben und auf OK klicken. Versuchs mal hiermit Onlinescan Ein Browerwechsel ist auch zu empfehlen Firefox |
@wsw: was möchtest du denn in der registry tun? sei bitte sehr vorsichtig mit dem löschen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:41 Uhr. |
Copyright ©2000-2024, Trojaner-Board