Einstellung im IE

Dieses Thema im Forum "Browser" wurde erstellt von CyLeT, 15. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. CyLeT

    CyLeT Byte

    Registriert seit:
    24. Dezember 2002
    Beiträge:
    49
    Zur Zeit hab ich das Problem, dass jedes Mal wenn ich mich in WIN XP anmelde teilweise meine Internet Explorer Einstellung weg sind. Bspw. die Eintellung der Symbolleiste, dann ist die Link-Leiste immer deaktiviert und das Suchen-Fenster am linken Rand erscheint immer wieder neu mit irgendeiner unbekannten Sucheengine, obwohl ich diese Einstellung dauernd ändere.:bet:
    Das Problem hab ich erst seit ein paar Tagen...Wie kann ich des wieder ändern, das jedesmal die Einstellungen geladen sind...?
     
  2. CyLeT

    CyLeT Byte

    Registriert seit:
    24. Dezember 2002
    Beiträge:
    49
    Ja, ich bedanke mich dann mal...
    Es war wirklich der Trojaner. Ich hab die sys.reg gelöscht und nun behält der IE seine Einstellungen wieder.
    Aber eine Frage noch: Laut der einen Virenbeschreibung gibts da ne .com datei die die sys.reg erstellt. Ist die auch noch auf meiner Festplatte?
    Ich muss noch erwähnen, das Antivir PE (aktualisiert) diesen Virus nach mehrmaligen Durchforsten nicht erkannt hat. Womöglich spezialisieren die sich nur auf "harte" Viren *g*.
    Dank an alle Poster...
     
  3. tobiy

    tobiy Kbyte

    Registriert seit:
    4. April 2004
    Beiträge:
    370
    @ Wolfgang77
    Kuckst du HIER. ;)
     
  4. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    @Der_Shogun

    Status gesperrt... was hast du angestellt ??
     
  5. Der_Shogun

    Der_Shogun Kbyte

    Registriert seit:
    11. April 2004
    Beiträge:
    392
    C:\WINDOWS\System32\Ati2evxx.exe

    C:\Programme\WinFast\WFTVFM\WFWIZ.exe
    O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe

    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -s c:\sys.reg

    (Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB

    sieht alles sehr verdächtig aus :)

    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe

    und bei dem bin ich unschlüssig, was ein FTP-programm mit einer background-installation zu tun hat?! ist auch verdächtig.
     
  6. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Das ist doch auch sehr verdächtig:

    O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -s c:\sys.reg

    bei jedem Start wird da ein Eintrag in die Registry vorgenommen. Lade die "sys.reg" einmal in einen Texteditor und schau dir an was da eingetragen wird.

    Scheint der Trojaner "Troj/Seeker-F" Alias:
    VBS_INOR.K, TrojanDropper.VBS.Inor.o, VBS/Godog.G, TROJ_SEEKER.B zu seien.

    Der ist aber seit Januar 2004 bekannt und sollte von deinem Virenscanner erkannt werden:

    Laut Sophos:
    Der Trojaner wird als COM-Datei (was eine EXE ist) mit einem temporären Dateinamen von einer Skriptdatei, die ein eingebettetes VBScript enthält, abgelegt und ausgeführt.

    http://www.sophos.de/virusinfo/analyses/trojseekerf.html


    Grüße
    Wolfgang
     
  7. Gast

    Gast Guest

    schon mal zu 7adpower:

    http://derstandard.at/?id=1499215

    Zitat:

    Download und Einwahl erfolgt über ActiveX und bleibt daher vom User unbemerkt. Nach 30 bis 40 Minuten erfolgt eine automatische Trennung. Die Kosten für das neue Lebkuchen-Rezept per Satellit betragen danach etwa 89 Euro.

    :rolleyes: Mahlzeit !
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
  9. CyLeT

    CyLeT Byte

    Registriert seit:
    24. Dezember 2002
    Beiträge:
    49
    HIJACK.log

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\WinFast\WFTVFM\WFWIZ.exe
    C:\Programme\Winamp\Winampa.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\FRITZ!DSL\Awatch.exe
    C:\Programme\Microsoft Hardware\Mouse\point32.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\FRITZ!DSL\FritzDsl.exe
    C:\Dokumente und Einstellungen\Cylet\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977[1].zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.i--search.com/ie/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
    O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 246***
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
    O4 - HKLM\..\Run: [SystemSearch] REGEDIT.EXE -s c:\sys.reg
    O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {4AE9E3BF-409D-4F61-9804-920968603919} (Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB
    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6D1B3280-4C32-44BE-BEBE-FD2083BF47B3}: NameServer = 192.168.122.252,192.168.122.253

    Was könnte ich denn davon jetzt löschen?
     
  10. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Könnte Spyware oder en Hijacker sein.

    Scann dein System mit nem Virenscanner und Spybot S&D.

    Und poste mal das Scanergebnis von HijackThis.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen