IE Starseite

Dieses Thema im Forum "Browser" wurde erstellt von hphk, 17. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. hphk

    hphk Byte

    Registriert seit:
    23. Oktober 2000
    Beiträge:
    23
    Hallo,

    ich benötige Hilfe zum Durchblick. Im IE 6 SP1 unter Win XP Home SP1 ist bei mir standardmäßig die Startseite "obout:blank" eingestellt. Wenn das Programm Ad-Aware scannen lasse, bekomme ich eine Meldung die lautet " 1 Neues Objekt, 1 Reg. Daten identifiziert". Nach "Weiter" folgt die Meldung "HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main "StartPage" ("about:blank") und "Möglicher Browser-Hijack Versuch". Im Grunde also doch ein ganz legaler Eintrag. Wenn ich lösche, meldet sich erst einmal 0190 Warner zu Wort mit der Meldung: Alte Startseite: obout:blank, Neue Startseite: "http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home". Erlauben Ja oder Nein. Unter den Internetoptionen des IE ist jetzt als Startseite angegeben: "http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home". Wenn ich die Änderung nicht erlaube, ist wieder "about:blank" eingetragen und Ad-Aware gibt mir dann beim nächsten Durchlauf wieder die Meldung wie anfangs beschrieben aus. Übrigens, ich habe versucht die zuvor beschriebenen Adresse einmal anzuwählen. Die Seiten wurden nicht gefunden.
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo hphk

    Lade dir mal HijackThis herunter, führe es aus und poste den Log hier. Beende allerdings, bevor du HijackThis startest, den Internet Explorer.

    Edit: Thread :schieb:

    Bitte die Regeln beachten, hier Punkt 5.

    Gruß
    Nevok
     
  3. Gast

    Gast Guest

    Und nun verrate mal bitte, wie du das geschafft hast, dass about:blank in deinem Beitrag von der Forensoftware nicht mit einem Leerzeichen vor dem ":" erweitert wurde. :D

    Komisch, da haben wohl Geister die Hand im Spiel :totlach:. ,mal so, mal so.
     
  4. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Und warten bis die nächste Refernzdatei von Adaware geliefert wird, damit about:blank nicht weiterhin als HiJacker erkannt wird.
    Gruß
     
  5. Gast

    Gast Guest

    Adaware meckert, wenn es about:blank findet.
    Die richtige leere Startseite darf, wenn du sie mit Rechtsklick > Quelltext anzeigen betrachtest, nur eine Zeile enthalten:

    <HTML></HTML>
     
  6. hphk

    hphk Byte

    Registriert seit:
    23. Oktober 2000
    Beiträge:
    23
    Hallo Döskopp u.a.,

    vielen Dank für Eure Hilfestellungen. Die Sache ist für mich doch komplizierter als ich dachte, mein Sachverstand reicht da nicht aus. Ich werde im IE nach wie vor die leere Startseite eingestellt lassen. Wenn Ad-aware wieder einmal meckert, werde ich den Eintrag nicht löschen, sondern einfach ignorieren in der Annahme, dass eine Leerseite keinen Schaden anrichten kann.

    Bis bald
    hphk
     
  7. Döskopp

    Döskopp Kbyte

    Registriert seit:
    6. Mai 2004
    Beiträge:
    169
    Zum Thema Durchblick @hphk:

    Wie erwähnt ist gegen 'microsoft.com' ansich nichts einzuwenden (falls man das als Start- / SearchPage so haben will). - An dem kryptischen Zeug dahinter ist CLSID (ClassID) interessant. Es handelt sich um ActiveX- Steuerelemente. Untersucht man per [1], [2]. Bei Dir kommt 0x0407 (hexadez. 407) vor. Was das ist sagt Methode [1], indem man nach '407' im linken Baum sucht. Methode [2] offenbart die entsprechende Download-Page, falls die Seite der anfordernden URL keinen lokalen Code finden kann.

    Im praktischen Fall enthält der HTML-Code CODEBASE=/download/ .. /datei.cab und bei aktiviertem ActiveX vollzieht sich völlig transparent der Download [3]. *urggh* Man sollte also (per [2]) sehr genau wissen, welche Steuerelemente (und wozu) man braucht.

    Hmm, Geheimnis: ActiceX ist bei mir grundsätzlich AUS.
    ____________

    [1] 'regedit' aufrufen + HKCR/ CLSID einsehen
    [2] Extras/ IOptionen/ temp.I-Dateien/ Einstellungen/ Objekte
    [3] MS-Internet-Expl. Techn. Referenz p.473 (Anhang B)
     
  8. Gast

    Gast Guest

    Da steht sie unter Anderen, leicht abgewandelt als Standard nach der Installation von Windows:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\WebJITURLs
    auch beim Mediaplayer, Hotmail etc.
     
  9. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ hphk

    Wenn ich mich nicht irre, dann ist diese "h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch", der Microsoft eigene Suchdienst.

    Aber diese genannte w**.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home ist mir völlig unbekannt, vielleicht kann dir noch ein anderer User helfen.

    Installiere Spybot 1.3 Final und scanne dein System.
     
  10. Döskopp

    Döskopp Kbyte

    Registriert seit:
    6. Mai 2004
    Beiträge:
    169
    Für den Fall, dass die geänderte Startseite immmer wiederkommt...


    Die Startseite ist in einer REG-Datei, einem Script oder...
    (meistens) im Klartext abgelegt. Bleibt also die textsensi-
    tive Suche nach diesem String (über die Systempartition).

    Falls im Autostart oder HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run nichts zu finden ist, gehts auch
    per Hive-Zuladung in die Registry (wird hier beschrieben).

    Rückfrage: Gibt es in der Registry unter HKLM/../Run
    einen 'regedit -s Datei.REG' -Eintrag? - Dann hätten wir den
    Schuldigen.

    Also: Registry-Eintrag (in HKLM/... /run) löschen, Datei.REG löschen.

    __________________________
    Ein Beispiel ;-)

    --------------- sys.reg
    REGEDIT4
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="http://t.rack.cc/h.php?aid=227"
    "HOMEOldSP"="http://t.rack.cc/h.php?aid=227"
    "Search Bar"="http://t.rack.cc/s.php?aid=227"
    "Search Page"="http://t.rack.cc/s.php?aid=227"
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
    "SearchAssistant"="http://t.rack.cc/s.php?aid=227"
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="http://t.rack.cc/h.php?aid=227"
    "HOMEOldSP"="http://t.rack.cc/h.php?aid=227"
    "Search Bar"="http://t.rack.cc/s.php?aid=227"
    "Search Page"="http://t.rack.cc/s.php?aid=227"
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
    "SearchAssistant"="http://t.rack.cc/s.php?aid=227"
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "sys"="regedit -s sys.reg"
    ---------------

    Dies nach (zB.) ..\system32 (Hauptsache auffindbarer Pfad) als SYS.REG sichern und gemäss letzter Zeile! Registry-Eintrag ("sys"="regedit -s sys.reg" in HKLM/.. /run) erzeugen. Booten.

    => Deine neue Startseite heisst 't.rack.cc'


    Damit ist klar, wie man es macht UND wie man es wegkriegt.
     
  11. Gast

    Gast Guest

    Eintrag markieren und Fix checked ausführen.
    about:blank (ohne Leerzeichen) ist übrigens die ganz normale leere Seite.
     
  12. hphk

    hphk Byte

    Registriert seit:
    23. Oktober 2000
    Beiträge:
    23
    Hallo Cidre,

    ich weiß nicht, wie ich die von Dir erwähnte Zeichenfolge bearbeiten soll. In der Registry habe ich sie in mehreren Schlüsseln gefunden (Zahlen u. Buchstaben innerhalb der Klammern). Bitte noch eine kleine Hilfe.

    Gruß und danke
    hphk
     
  13. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo hphk,

    diesen Eintrag fixen:

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

    Ansonsten ist die Log sauber.
     
  14. hphk

    hphk Byte

    Registriert seit:
    23. Oktober 2000
    Beiträge:
    23
    Hallo Nevok,

    hier der Inhalt von HijackThis.log:

    Logfile of HijackThis v1.97.7
    Scan saved at 22:14:01, on 17.05.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    D:\WINXP\System32\smss.exe
    D:\WINXP\system32\csrss.exe
    D:\WINXP\system32\winlogon.exe
    D:\WINXP\system32\services.exe
    D:\WINXP\system32\lsass.exe
    D:\WINXP\system32\svchost.exe
    D:\WINXP\System32\svchost.exe
    D:\WINXP\System32\svchost.exe
    D:\WINXP\System32\svchost.exe
    D:\WINXP\system32\spoolsv.exe
    d:\programme\0190 warner\w0svc.exe
    D:\WINXP\System32\alg.exe
    D:\WINXP\System32\GEARSec.exe
    D:\Programme\Ahead\InCD\InCDsrv.exe
    D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    D:\WINXP\System32\nvsvc32.exe
    D:\WINXP\System32\SCardSvr.exe
    D:\WINXP\System32\SLEE401.exe
    D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
    D:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    D:\WINXP\System32\WFXSVC.EXE
    D:\WINXP\system32\fxssvc.exe
    D:\Programme\WinFax\WFXMOD32.EXE
    D:\WINXP\Explorer.EXE
    C:\Programme\Microsoft IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
    D:\Programme\Microsoft Hardware\Keyboard\type32.exe
    D:\PROGRA~1\WinFax\WFXSWTCH.exe
    D:\WINXP\System32\wfxsnt40.exe
    D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    D:\PROGRA~1\0190WA~1\WARN0190.EXE
    D:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe
    D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
    D:\WINXP\system32\ZoneLabs\vsmon.exe
    D:\WINXP\system32\ntvdm.exe
    D:\WINXP\system32\csrss.exe
    D:\WINXP\system32\winlogon.exe
    D:\WINXP\Explorer.EXE
    C:\Programme\Microsoft IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
    D:\Programme\Microsoft Hardware\Keyboard\type32.exe
    D:\PROGRA~1\WinFax\WFXSWTCH.exe
    D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    D:\PROGRA~1\0190WA~1\WARN0190.EXE
    D:\WINXP\System32\ctfmon.exe
    D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
    D:\Programme\Total Commander\TOTALCMD.EXE
    D:\Temp\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINXP\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
    O4 - HKLM\..\Run: [IntelliType] "D:\Programme\Microsoft Hardware\Keyboard\type32.exe"
    O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe
    O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
    O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [PE2CKFNT SE] D:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
    O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
    O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.LNK = D:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe
    O4 - Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
    O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
    O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37885.5358680556
    O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    Gruß
    hphk
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen