Internet Explorer 6, Versteckte url !

  • Hallo Profis,


    kleines Problem, mein IE ist soweit sauber, doch leider nicht ganz :-(


    Irgendwo hat sich in meinem XP prof SP2 eine "Schweine-Seite" eingebrannt. Mein IE startet mit leerer Seite, dies ist auch so gewollt von mir. In der Adressleiste kann ich auch alle von mir gewünschten Seiten eingeben. Ich kann alle temp Files löschen und auch den verlauf des IE leeren. Gebe ich jedoch den Buchstaben "b" ein, erscheint die Url der bösen Seite (http://blacksonblondes.com/members) in der Adressleiste.


    Ich bin kein Member dieser Seite. Die Reg hab ich schon durchsuchen lassen, nix gefunden. SpyBot und AdAware laufen lassen, nix gefunden.
    Virusscan, No Virus found, CSW Chredder kein Erfolg, sowie noch andere diverse Reg Scanner.


    Kein Tool kann mir sagen wo diese bescheuerte Seite sich versteckt hat.


    Hat jemand von euch eine Idee wo ich die Suchen kann oder wie ich den IE von diesem Übel befreien kann ?

  • willkommen drdealgood,


    da scheint sich so ein kleiner schlingel ja wirklich gut versteckt zu haben.
    auf anhieb fällt mir ein, die schädlingssuche, die du ja schon vorbildlich durchgeführt zu haben scheinst, noch mit hijackthis zu vervollständigen:
    durchlaufen lassen, dann auf "safe log" und selbiges posten hier (oder, ganz nach belieben, zur automatischen auswertung schicken oder beides.


    weitere ratschläge werden folgen, das ding werden wir sicher los !


    grüßchen

    wieviele ms-angestellte braucht man um eine kaputte glühbirne zu wechseln ?
    keinen, bill gates erklärt die dunkelheit zum marktstandard

  • natürfisch hab ich den auch laufen lassen :-)


    Logfile of HijackThis v1.97.7
    Scan saved at 20:16:10, on 17.10.2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Folder Shield\FSService.exe
    C:\Programme\Folder Shield\fsp.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\WF2K.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    C:\WINDOWS\system32\ntvdm.exe
    C:\Programme\Internet Explorer\iexplore.exe
    G:\Service\HijackThis.exe


    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE Initial
    O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office-Indexerstellung.lnk = C:\MSOffice\Office\FINDFAST.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3DD4E58E-5AD5-46CF-9D2E-D137F8AEB87C}: NameServer = 217.237.150.97 217.237.149.161


    anbei die log.file, damit kann ich nun wirklich nix anfangen :-(

  • leider läßt sich zumindest in meinen augen auch darin nicht der jumpin point erkennen, außer, daß du anscheinend einen anderen link (?) bzw. eine ältere version von hjt benutzt hast.
    ansonsten übergebe ich an die kompetenteren cracks hier.

    wieviele ms-angestellte braucht man um eine kaputte glühbirne zu wechseln ?
    keinen, bill gates erklärt die dunkelheit zum marktstandard

  • Hi,
    auf die Schnelle - trag die Seite doch mal in deine Hosts-Datei ein. Du findest sie in Windows/System32/drivers/etc
    Die Datei mit dem Editor öffnen und trägst die Seite nach folgendem Beispiel ein: 127.0.0.1 ads.killerapp.com
    Ist zwar keine wirkliche Lösung sollte aber das Laden der Seite verhindern. Über das eigentliche Problem denke ich noch nach...


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Kannst du diese beiden Einträge einem Programm zuordnen?:
    O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE Initial
    O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
    Wenn nicht dann schau mal in Spybot unter Werkzeuge/Systemstart und nimm die Haken bei den beiden Einträgen raus und boote neu. Vorteil - falls du die Einträge doch brauchst kannst du die Haken einfach wieder reinmachen.
    Mach dann bitte nochmal mit der aktuellen HijackThis-Version ein neues Log. Du findest sie hier bei uns in den Downloads.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Äh, Jungs. Kann es sein, das hier einfach nur die Autovervollständigung greift ?
    Wenn er ein "b" eintippt, wird halt die erste passende Seite angezeigt.


    Um das zu entfernen, einfach Menü Extras->Internetoptionen.
    Dann auf Inhalte gehen und dann unten auf Autovervollständigung.


    Und dann mal schauen, mit was genau man das weg bekommt. Im zweifelsfall einfach mal komplett deaktivieren.

  • Logfile of HijackThis v1.98.2
    Scan saved at 00:20:22, on 18.10.2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Folder Shield\FSService.exe
    C:\Programme\Folder Shield\fsp.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\WF2K.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    C:\Programme\WinMX\WinMX.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\DOKUME~1\ENTENB~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe


    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE Initial
    O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office-Indexerstellung.lnk = C:\MSOffice\Office\FINDFAST.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3DD4E58E-5AD5-46CF-9D2E-D137F8AEB87C}: NameServer = 217.237.150.97 217.237.149.161


    hier das log mit dem neueren hijack


    leider weis ich nicht was jetzt da ordnugsgemäss reingehört, somit kann ich auch keine auskunft über die zuordnung geben.

  • Was da ordnungsgemäß reingehört kann niemand sagen, das ist bei jedem anders, liegt an den installierten Programmen. Wichtig ist was da absolut nicht reingehört und da kann ich nichts finden das ich zweifelsfrei als Schädling zuordnen kann.
    Probier mal den Rest der Tips aus
    - Eintrag der Seite in die hosts-Datei
    - Autovervollständigen im IE deaktivieren
    - die WinFox und WinFast- Einträge testweise aus dem Autostart nehmen


    meld dich wieder obs was gebracht hat.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • zumindest weiss ich jetzt was winfox und winfast ist :-)


    das sind utils von meiner leadtek graka, zum übertaken und zur überwachung, die können also bleiben.


    hab das mit dem autovervollständigen abgeschaltet, jetzt geht es mir zumindest nicht mehr auf den keks.


    erst mal vielen dank für die schnelle und kompetente hilfe


    falls jemand dann noch eine idee hat wie ich den bruder loswerden kann, bitte posten.

  • Zitat von Starfight hat Recht denke ich und

    Äh, Jungs. Kann es sein, das hier einfach nur die Autovervollständigung greift ?
    Wenn er ein "b" eintippt, wird halt die erste passende Seite angezeigt.


    Autovervollständigen...falls es doch nicht abgeschaltet werden soll...


    ...die eingetippten/besuchten Urls liegen in der Registry unter...


    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs


    und...


    [HKEY_USERS\S-1-5-??-??????????-??????????-?????????-????\Software\Microsoft\Internet Explorer\TypedURLs] welcher aber identisch ist, da der Obere bei der Anmeldung aus diesem generiert wird.
    Alle Änderungen des Oberen wirken sich automatisch auf Den mit der langen SID aus.


    Um wieder eine leere Liste zu erhalten alle Einträge außer (Standart) entfernen und Deine Seite ist dann wohl auch weg.
    Füllt sich aber beim surfen wieder. :twisted:

    hope dies last


    tschöö... ast

  • Netter Versuch ast, aber bringt leider überhaupt nichts :-(


    Habe da gesucht, die verf***** Seite ist da nicht gelistet, hmmm ?


    Sobald ich Autovervllst. einschalte und in der Adressliste ein "b" eingebe ist das Mistvieh wieder da, obwohl alle temps und der Verlauf leer sind.


    Ist schon ein tolles Ding, was ich mir da eingefangen habe, aber irgendwo muss doch ein Verweis in der reg auf diese blöde Seite sein, grübel.


    Bitte um weitere Vorschläge