Fehlermeldung bei IE-Start nach Beseitigung eines Trojanischen Pferdes

Dieses Thema im Forum "Sicherheit" wurde erstellt von hauenste, 14. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. hauenste

    hauenste ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    6
    Hallo,
    ich habe gerade mit Antivir ein Tojanisches Pferd auf meinem
    Rechner löschen können.
    Ich kann jetzt zum Glück wieder normal am Rechner arbeiten.

    Eine Sache ist jedoch noch nicht ok:
    Beim Start von InternetExplorer erhalte ich die Meldung:
    "file:///c:/secure32.html wurde nicht gefunden. Stellen Sie sicher dass der Pfad bzw. die Internetadresse richtig ist.".

    Klar, die Datei ist nicht mehr da - ich denke, dass die von
    AntiVir gelöscht wurde.

    Ich kann im IE die Startseite zwar ändern, nach Neustart
    ist diese jedoch wieder auf 'secure32.html' gesetzt.
    Wie kann ich das Problem lösen - wo kann ich da eingreifen???

    Kann mir bitte jemand weiterhelfen?
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  3. hauenste

    hauenste ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    6
    Hallo Wolfgang,
    ich habe jetzt 'mal HiJack installiert und laufen lassen.
    Folgende LOG-Datei wurde geschrieben:

    [Log gelöscht - siehe nächster Beitrag]

    Wie gehe ich jetzt weiter vor?
     
  4. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  5. hauenste

    hauenste ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    6
    Das ist ja ein tolles Tool - ich bin begeistert.
    Die "Paytime.exe" habe ich gelöscht.

    Kannst Du mir nochmals einen Tipp geben?
    Was soll ich mit den 'bösen' Registry-Einträgen machen,
    z.B. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

    Wie gehe ich da ambesten vor?
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    wenn ich mich mal kurz einmischen darf, es wäre vielleicht sinnvoll auch dieses Tool mal laufen zu lassen. Du mußt es erst entpacken, dann gehst du in den abgesicherten Modus (F8 beim booten) und führst die runthis.bat aus. Daraufhin postest du den Inhalt der Datei C:\Smitfiles.txt.
    Die Secure32 Einträge kannst du einfach mit HijackThis fixen (Haken davor und auf "fix checked" klicken).


    Grüße Jasager
     
  7. hauenste

    hauenste ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    6
    Ist das so richtig:
    ich lasse Hijack This nochmals laufen, hake alle 'bösen'
    Zeilen der Auswertung an und klicke dann auf 'Fix checked'???

    Was passiert dann mit den Registry-Einträgen?
    Werden die aus der Registry gelöscht?
    Müssen die nicht dort bleiben - allerdings mit anderen Werten versehen sein?
    (z.B. meine gewünschte Startseite bei IE-Start)???

    Habt ihr da noch ein paar Infos für mich?

    Vielen Dank
    Thomas
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Ja, korrekt.
    Ja, die Registryeinträge werden gelöscht, und nein, es muß ihnen kein anderer Wert zugeteilt werden, sie sind von dem Trojaner nicht verändert, sondern neu erstellt worden.
    Und, mach das noch mit dem Tool, außerdem machst du noch zur Kontrolle einen Onlinescan bei Panda und postest den Report.


    Grüße Wildone
     
  9. hauenste

    hauenste ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    6
    Ok,
    Hijack This meldet jetzt keine 'bösen' Dateien mehr.
    AntiVir kann keine Viren finden.

    Allerdings findet der Onlinescan von Panda Spyware auf dem
    Rechner.
    Hier die Protokolldatei des letzten Laufes:
    Ereignis Zustand Standort

    Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@doubleclick[1].txt
    Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@ehg-idg.hitbox[1].txt
    Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@hitbox[2].txt
    Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@doubleclick[1].txt
    Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@ehg-idg.hitbox[1].txt
    Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@hitbox[2].txt
    Was bedeuten die Einträge?
    Oder ist soweit alles OK?

    Grüße
    Thomas
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das ist harmlos, das sind nur cookies, die kannst du im IE unter Extras>>Internetoptionen "Temporäre Dateien" löschen.
    Ansonsten bleibt zu sagen, Finger weg von Cracks und Seiten die solche anbieten, darüber fängt man sich nämlich Spysheriff. Und überarbeite auch mal deine IE einstellungen und/oder benutze einen alternativen Browser (Firefox, Opera, Mozilla).


    Grüße Jasager
     
  11. hauenste

    hauenste ROM

    Registriert seit:
    14. Januar 2006
    Beiträge:
    6
    So, jetzt bin ich aber total froh, dass mein Rechner
    wieder sauber läuft.
    Vielen Dank für die tolle Unterstützung!!!!

    Grüße
    Thomas
     
  12. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    die Cookies werden hier von "pcwelt.de" auf deinem Rechner hinterlegt. Du solltest grundsätzlich alle Cookies deaktivieren und eine Whitelist (Erlaubnisliste/Positivliste) erstellen mit Websites die Cookies auf deinem Rechner setzen dürfen.. Beispiel deine Internet-Shops, Banken und natürlich "pcwelt.de" für das Forum hier :)

    Im IE unter "Extras - Internetoptionen - Datenschutz", beschäftige dich einmal mit der Materie damit du in Zukunft besser verstehst was sich da auf deinem Rechner abspielt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen