Fehlermeldung bei IE-Start nach Beseitigung eines Trojanischen Pferdes

Hallo,
ich habe gerade mit Antivir ein Tojanisches Pferd auf meinem
Rechner löschen können.
Ich kann jetzt zum Glück wieder normal am Rechner arbeiten.

Eine Sache ist jedoch noch nicht ok:
Beim Start von InternetExplorer erhalte ich die Meldung:
"file:///c:/secure32.html wurde nicht gefunden. Stellen Sie sicher dass der Pfad bzw. die Internetadresse richtig ist.".

Klar, die Datei ist nicht mehr da - ich denke, dass die von
AntiVir gelöscht wurde.

Ich kann im IE die Startseite zwar ändern, nach Neustart
ist diese jedoch wieder auf 'secure32.html' gesetzt.
Wie kann ich das Problem lösen - wo kann ich da eingreifen???

Kann mir bitte jemand weiterhelfen?

 

Hallo,

oben im Viren u. Trojaner Board sind wichtige Informationen gepinnt.. zum Beispiel hier den Thread:

http://www.pcwelt.de/forum/showthread.php?t=134046

Ohne das HiJackThis-Log ist eine Ferndiagnose nicht möglich..

 

Hallo Wolfgang,
ich habe jetzt 'mal HiJack installiert und laufen lassen.
Folgende LOG-Datei wurde geschrieben:

[Log gelöscht - siehe nächster Beitrag]

Wie gehe ich jetzt weiter vor?

 

Hallo,

hier ist deine Auswertung:

http://www.hijackthis.de/logfiles/5f89d2e76cfd878e5bd17be042a3b67f.html

Da siehst du wie / wo das Ding gestartet wird, die Einträge fixen. Ist aber noch mehr "paytime.exe"

 

Das ist ja ein tolles Tool - ich bin begeistert.
Die "Paytime.exe" habe ich gelöscht.

Kannst Du mir nochmals einen Tipp geben?
Was soll ich mit den 'bösen' Registry-Einträgen machen,
z.B. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

Wie gehe ich da ambesten vor?

 

Hallo,
wenn ich mich mal kurz einmischen darf, es wäre vielleicht sinnvoll auch dieses Tool mal laufen zu lassen. Du mußt es erst entpacken, dann gehst du in den abgesicherten Modus (F8 beim booten) und führst die runthis.bat aus. Daraufhin postest du den Inhalt der Datei C:\Smitfiles.txt.
Die Secure32 Einträge kannst du einfach mit HijackThis fixen (Haken davor und auf "fix checked" klicken).


Grüße Jasager

 

Ist das so richtig:
ich lasse Hijack This nochmals laufen, hake alle 'bösen'
Zeilen der Auswertung an und klicke dann auf 'Fix checked'???

Was passiert dann mit den Registry-Einträgen?
Werden die aus der Registry gelöscht?
Müssen die nicht dort bleiben - allerdings mit anderen Werten versehen sein?
(z.B. meine gewünschte Startseite bei IE-Start)???

Habt ihr da noch ein paar Infos für mich?

Vielen Dank
Thomas

 

Hallo,

Ja, korrekt.

Ja, die Registryeinträge werden gelöscht, und nein, es muß ihnen kein anderer Wert zugeteilt werden, sie sind von dem Trojaner nicht verändert, sondern neu erstellt worden.
Und, mach das noch mit dem Tool, außerdem machst du noch zur Kontrolle einen Onlinescan bei Panda und postest den Report.


Grüße Wildone

 

Ok,
Hijack This meldet jetzt keine 'bösen' Dateien mehr.
AntiVir kann keine Viren finden.

Allerdings findet der Onlinescan von Panda Spyware auf dem
Rechner.
Hier die Protokolldatei des letzten Laufes:
Ereignis Zustand Standort

Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@doubleclick[1].txt
Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@ehg-idg.hitbox[1].txt
Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@hitbox[2].txt
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@doubleclick[1].txt
Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@ehg-idg.hitbox[1].txt
Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Thomas.HAUENSTEINPC\Cookies\thomas@hitbox[2].txt
Was bedeuten die Einträge?
Oder ist soweit alles OK?

Grüße
Thomas

 

Hallo,
das ist harmlos, das sind nur cookies, die kannst du im IE unter Extras>>Internetoptionen "Temporäre Dateien" löschen.
Ansonsten bleibt zu sagen, Finger weg von Cracks und Seiten die solche anbieten, darüber fängt man sich nämlich Spysheriff. Und überarbeite auch mal deine IE einstellungen und/oder benutze einen alternativen Browser (Firefox, Opera, Mozilla).


Grüße Jasager

 

So, jetzt bin ich aber total froh, dass mein Rechner
wieder sauber läuft.
Vielen Dank für die tolle Unterstützung!!!!

Grüße
Thomas

 

Hallo,

die Cookies werden hier von "pcwelt.de" auf deinem Rechner hinterlegt. Du solltest grundsätzlich alle Cookies deaktivieren und eine Whitelist (Erlaubnisliste/Positivliste) erstellen mit Websites die Cookies auf deinem Rechner setzen dürfen.. Beispiel deine Internet-Shops, Banken und natürlich "pcwelt.de" für das Forum hier

Im IE unter "Extras - Internetoptionen - Datenschutz", beschäftige dich einmal mit der Materie damit du in Zukunft besser verstehst was sich da auf deinem Rechner abspielt.