# IE 6.0 - veränderte Startseite



## Anonymous (7 Mai 2004)

*Folgendes Problem:*

Meine IE 6.0 Startseite wird jedes Mal, wenn ich reboote, auf folgende Seite zurückgesetzt:

_http:searchfor.net_ oder so ähnlich

Bei jedem Systemstart wird auch automatisch eine zufällige *.dll Datei im System32 Ordner von WinXP angelegt.
Ich kann sie nur umbennen und rauskopieren - nach dem nächsten Rebbot dann löschen, aber bis dahin gibt es wieder eine neue zufällige Datei.

Ich habe schon folgende Tools getestet - ohne Erfolg:
HiJackThis
AdAware 6.0
AntiVir Personal Edition
etliche Firewalls
Registry Cleaner jeglicher Art

-> alles ohne Erfolg  :bigcry: 

_Als Anhang ein Log von HiJackThis:_
- nur der Ausschnitt zu den betroffenen Files


> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
> 
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
> 
> ...



Ich hoffe, jemand hier kann mir helfen, da mein Latein langsam - nein, es ist - am Ende ist!
Das eigentliche Problem darin liegt, dass ich mir durch diesen Link knapp alle 3 Tage *Sasser* fange.

mfG FallenGrace


----------



## virenscanner (7 Mai 2004)

> Als Anhang ein Log von HiJackThis:
> - nur der Ausschnitt zu den betroffenen Files


Bitte *vollständiges* LOG posten.


> Das eigentliche Problem darin liegt, dass ich mir durch diesen Link knapp alle 3 Tage Sasser fange.


:gruebel: ?


----------



## Anonymous (7 Mai 2004)

Ok, vollständiger Log:



> Logfile of HijackThis v1.97.7
> Scan saved at 22:19:23, on 07.05.2004
> Platform: Windows XP SP1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
> ...



Und das mit Sasser:
Jedes Mal, wenn ich nicht vor dem I-Net Zugang HiJack starte, um die Datei zu finden und sie suche, um sie rauszunehmen aus System32, habe ich soätestens 5 Minuten danach Sasser erneut drauf ... und es war schon nervig, den überhaupt wegzubekommen, aber das ist nur zweitrangig, da ich endlich meine Standard-Startseite (about:blank) will!

mfg Fallen


----------



## virenscanner (7 Mai 2004)

@FallenGrace

Du solltest Dir dringend dieses hier durchlesen, da bei Dir ein "Würmchen" aktiv ist.

Ausserdem


> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
> ...


fixen.


----------



## technofreak (7 Mai 2004)

FallenGrace schrieb:
			
		

> Und das mit Sasser:
> Jedes Mal, wenn ich nicht vor dem I-Net Zugang HiJack starte, um die Datei zu finden und sie suche, um sie rauszunehmen aus System32, habe ich soätestens 5 Minuten danach Sasser erneut drauf ...



Mal ne Frage: hast  du das OS (W2000 oder WXP) gepatched ? 

tf


----------



## Anonymous (7 Mai 2004)

Jupp zwei Tage danach, als ich endlich wieder mal länger als 5min arbeiten konnte, ohne dass der PC sich ausschaltet.

Aber das ist jetzt nicht mehr relevant ... mich nervt nur diese scheiss Startseite! :argue:


----------



## virenscanner (8 Mai 2004)

@FallenGrace

Hast Du Dich um "C:\WINDOWS\System32\drivers\svchost.exe " gekümmert?

Wenn Du das Fixen erledigt und Dich "entwurmt" hast, bitte nach einem Rechnerneustart ein neues LOG erstellen und dieses posten.


----------



## Anonymous (8 Mai 2004)

Ich habe mir von Symantec das FixWelch Tool gezogen und durchlaufen lassen, hier der Report:



> The service "WksPatch" is viral. It is deleted.
> 
> The process "svchost.exe" is viral. It is terminated.
> 
> ...



Anscheinend ist jetzt alles in Ordnung. Mal sehen, was beim nächsten Reboot passiert, aber ich sage schon mal Danke an alle  :bussi:


----------



## Anonymous (8 Mai 2004)

Sorry für das Doppelposting, aber auch das Tool hat das Problem nicht behoben 

Der scheiss ist schon wieder da ... *kotz*
Hat nich jemand noch ne andere Idee?


----------



## Counselor (8 Mai 2004)

Versuch den Wurm manuell zu entfernen:
http://support.microsoft.com/default.aspx?scid=kb;de;826234


----------



## Anonymous (8 Mai 2004)

Joar ich habe den Ratschlägen Respekt gezollt, nachdem ich das 3mal gelesen habe - um mich nicht zu verlesen - und alles so gemacht, aber es ist immer noch alles beim alten -> DAS PROB IST NOCH DA


----------



## Devilfrank (8 Mai 2004)

So Grace, jetzt stell nochmal ein aktuelles HJT-Log hier rein.
Was ist das für ein Betriebssystem?
Starten ICQ und KaZaa automatisch?


----------



## Anonymous (9 Mai 2004)

*Der Log:*



> Platform: Windows XP SP1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
> 
> Running processes:
> ...



*
OS: WinXP Home Edition
Autostart: ICQ 2003a
*

---> Das erstaunliche an der Sache ist nur, dass er jetzt nur noch bei manchen Systemstarts aktiv wird, d.h. es gibt keine Garantie, ob die Seite verändert wird oder nicht.


----------



## Devilfrank (9 Mai 2004)

Step 1:
Deaktiviere die Systemwiederherstellung von XP

Step 2:
Reboot im Safe-Modus ( F8 )

Step 3:
C:\WINDOWS\System32\gkafc.dll - löschen

Step 4:
Temporary Internet Files - Inhalte löschen

Step 5:
My Shared Folder von KaZaa - Inhalt löschen

Step 6:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated) 
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated) 
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated) 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated) 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated) 
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated) 
HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
löschen

Step 7:
Reboot

Step 8:
go to www.kaspersky.com/de/remoteviruschk.html und den Online-Scan durchführen

Step 9:
www.pestscan.com/ Kontrollscan online durchführen

Step 10:
Systemwiederherstellung von XP wieder einschalten

Die Ergebnisse kannst Du dann hier posten und dann schaun wir mal...


----------



## Devilfrank (9 Mai 2004)

Ach ja und stell sicher, dass Du wirklich *alle* aktuellen Updates und Patches von M$ installiert hast.


----------



## virenscanner (9 Mai 2004)

> C:\WINDOWS\System32\drivers\svchost.exe


Und das kennen "wir" doch schon...


----------



## Counselor (9 Mai 2004)

virenscanner schrieb:
			
		

> > C:\WINDOWS\System32\drivers\svchost.exe
> 
> 
> Und das kennen "wir" doch schon...


Dabei hat FallenGrace gestern innerhalb von 7 Minuten die Anleitung von MS  dreimal gelesen, ihr Respekt gezollt und ein Posting geschrieben ...

http://forum.computerbetrug.de/viewtopic.php?p=53998#53998
http://forum.computerbetrug.de/viewtopic.php?p=54003#54003

Anleitungen lesen alleine hilft vielleicht doch nicht ...


----------



## Anonymous (9 Mai 2004)

> Logfile of HijackThis v1.97.7
> Scan saved at 17:47:34, on 09.05.2004
> Platform: Windows XP SP1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
> ...



Erstmal n aktueller Log ... 

Systemwiederherstellung ist deaktiviert
Updates sind alle aufgespielt
Datei wurde umbenannt und rauskopiert -> gelöscht
My Shared Folder wurde geleert
.../drivers enthält keine svchost.exe mehr
Temporary Internet Files ist komplett leer

Online-Scan ...

cgf.dll Infiziert: Trojan.Win32.StartPage.gv 

PestScan offenbart mir:

KaZaA eben als SpyWare mit dem "Magnet" Ding
Und nen "CWS HiJacker"

Ich lade mir grade die Demo zu PestPatrol runter und lass das dann durchlaufen ...
Ich melde mich dann wieder ...


----------



## Anonymous (9 Mai 2004)

Hier der Log von PestPatrol:



> Scan of 09.05.2004 18:46:00
> Pests found: 11
> Area scanned: C:\
> User Name: Büttner
> ...


----------



## Anonymous (9 Mai 2004)

Ich glaub, ich meld mich hier lieber mal richtig an ...

Aber ich habe alle Files, die mir PestPatrol da aufgezeigt hat gelöscht.


----------



## Counselor (9 Mai 2004)

CWS ist Cool WebSearch. Das is was für CWShredder:
http://www.spywareinfo.com/~merijn/files/CWShredder.exe


----------



## Anonymous (9 Mai 2004)

gesaugt, durchlaufen lassen und für gut befunden ... Jetzt heisst es warten und hoffen.

ein zweites Mal danke


----------



## Anonymous (10 Mai 2004)

*Trojaner/selbstöffnende Seite im IE6/"Search-Seite*

Hallo,
dazu möchte ich auf   http://www.heise.de/Security 
verweisen. Dort findet man einen Artikel über "Trojaner der Zukunft".
Ich hatte das gleiche Problem allerdings hieß meine "searchSeite "
Search2020.
Urheber : "TrojanDropper VBS = ein alter Trojaner=Ursprung im Jahre 1999 für WIN 98, der modifiziert wurde und nur von g-data gefunden wurde, alle anderen anti-viren/trojaner scanner haben (leider) ihr Archiv "aufgeräumt und zeigten nichts an.
Diese Trojaner der neuesten Generation holt man sich unbemerkt beim Besuch von Webseiten. Wenn plötzlich ein zusätzliches Browserfenster mit einer unbekannten Seite aufgeht, die man nie und nimmer besucht hat..ist es leider schon zu spät.
Dieses o.a. Teil kennt seine Feinde ganz genau. Zwar sind alle möglichen Scans möglich, es wird nichts gefunden. Auch die Updates der ScannerProgramme sind nicht mehr möglich, man bekommt nur eine Meldung, daß keine Updates vorhanden sind, ganz unschuldig und harmlos. Für die Updates von Microsoft "hat man keine Berechtigung", man kann sooft den Download button drücken wie man möchte, der Trojaner schottet das System völlig ab.
Ratschläge  (um überhaupt ersteinmal diesen Burschen sichtbar zu machen..)
adaware usw. aus dem System löschen. Dann den erneuten Download ausführen, schlägt es fehl, jemanden bitten, ob diese Freewaretools von einem nicht infizierten PC runterladen und brennen und von CD einspielen.
Dann sofort scannen, wenn der Download von CD klappen sollte. 
Dazu noch ein Link : http://www.24hilfe.de
Mehr als nur einen Anti Spyware Scanner benutzen.
Dann sollte diese Trojaner-Art "entkleidet sein und man kann "ihn" unter
System:Software betrachten. Dieses Programm ist allerdings nicht zu löschen.
Absolut  gar nicht.
Der Rat von Fachleuten : Festplatte formatieren und alles neu installieren und zuerst Firewall und Virenscanner drauf.. dann nach updates schauen.
Zum IE6 bleibt zu erwähnen, das unter Eigenschaften/Sicherheit in den Einstellung undbedingt der Punkt : " herunterladen von verschlüsselten Dateien auf die Festplatte" mit einem Häkchen per Hand  selbst n a ch t r ä g l i c h unbedingt   v o r  dem ersten Besuch im Internet  versehen sein muß.
Denn mein Trojaner der neuesten Generation (der o.a.) ist eine verschlüsselte Datei, nicht in "Klarbuchstaben", sieht einem ASCII Code ähnlich.
Und nochein Tip : die AktivX Steuerelemente undbedingt anschauen. Die Plugin-Funktion benötigt man nur zum Downloaden der Microsoft Updates oder wenn man sich gegen Entgeld Video-Filme ansehen möchte, sonst nicht ! Also nur anschalten, wenns auch gebraucht nicht, ansosten deaktivieren.
Es gibt ja zum Glück noch Software Alternativen zum surfen im Internet.
Ich habe eine Stinkwut auf diese Leute, die Trojaner, Viren etc. herstellen und damit die PC's bombardieren.
Denn dem letzten TRojaner habe ich es zu verdanken, daß ich mir einen neuen PC kaufen mußte, auch mit anderer Software als XP lief mein PC nicht mehr.
Wie eine Kettenreaktion starben nach jedem Neustart wichtige Funktionen nach und nach ab, bis der PC nicht mehr zu gebrauchen war.
Leider keine guten Nachrichten.
Viele Grüße
hobbiesurfer


----------



## Anonymous (10 Mai 2004)

*Nachtrag*

Der Link für HEISE lautet :


http://www.heise.de

oben in der Leiste auf den Button : Security

auf der Seite dann rechts unten auf die Rubrik : Papers
dann auf den Artikel : Angriffsmethoden zukünftiger Würmer

Die Zukunft ist schon da.

Gruß
hobbiesurfer


----------



## Dino (10 Mai 2004)

Du meinst...

http://www.heise.de/security/artikel/46179

..., gell?


----------



## Genesis (10 Mai 2004)

Gast (Hobbysurfer) schrieb:
			
		

> Dieses Programm ist allerdings nicht zu löschen.
> Absolut gar nicht.


Wer sagt *das* denn?  Man kann jedes nicht unmittelbar zum Betriebssystem notwendige Programm "löschen".


			
				Gast (Hobbysurfer) schrieb:
			
		

> Der Rat von Fachleuten : Festplatte formatieren und alles neu installieren und zuerst Firewall und Virenscanner drauf.. dann nach updates schauen.


"Firewall drauf" allein sagt schon aus, dass diese Aussage sicherlich *nicht* von einem *Fachmann* getätigt wurde.


			
				Gast (Hobbysurfer) schrieb:
			
		

> Denn dem letzten TRojaner habe ich es zu verdanken, daß ich mir einen neuen PC kaufen mußte, auch mit anderer Software als XP lief mein PC nicht mehr.


Durch "Malware" kann ein PC nicht "beschädigt" werden (wenn man mal vom "Plätten" eines nicht-gesockelten Flash-Bausteins absieht). Was war denn Deiner Meinung nach "zerstört" worden, sodass ein neuer PC gekauft werden musste?


----------



## Anonymous (10 Mai 2004)

Also bevor ihr euch hier noch zerfleischt:

Alles ist weg, nur man fängt sich diese CWS Files echt zu leicht ein ... Einmal n dummes PopUp nicht richtig getroffen und man hat son DIng wieder *kotz*

Aber immerhin weiß ich ja jetzt, wie ich es dauerhaft wegbekomme.

Also ganz herzlichen Dank an euch


----------



## Anonymous (10 Mai 2004)

*Antworten auf Genesis' Fragen*

Hallo Genesis,
zur Frage  1) nicht Löschbarkeit eines verschlüsselten Programms, welches sich in das Betriebssystem einschrieb  und somit schreibgeschützt war und keine   f r e m d e  Kennzeichnung hatte :

das war das Ergebnis nach einem 3 Stunden Support-Telefonat mit der Fa. Microsoft.

zur Frage 2 ) : das war danach auch die Aussage nach Kontakt mit dem 3. Techniker der Fa. Microsoft, wobei nach telefonischer Anleitung mehrere Verfahren versucht wurden diesen Trojaner von der Platte zu bekommen. Dieser Trojaner ist nicht offenkundig, wurde erst durch Tricks, wie beschrieben, sichtbar.

zur Frage 3) habe nach Formatieren der Festplatte ein anderes Microsoft Betriebssystem installiert. Nach jedem, täglichen Neustart des Rechners fielen
nach und nach,wie eine Kettenreaktion.. immer mehr Funktionen weg. Der   Rechner arbeitete und arbeitete gleich nach dem Neustart. Die Dauer des Hochfahrens  lag zuletzt bei 7 Minuten.
Zuletzt  war  z.B.: ein e-mail Versand aus dem Outlook nicht mehr möglich.
Was zerstört wurde kann ich nicht beurteilen. Ich kann nur sagen, das mein Rechner unbrauchbar wurde.

Ich wollte lediglich darauf hinweisen, das es bereits  (ein)Trojaner Programm(e) gibt, die von den meisten Online Scannern  n i c h t  gefunden
werden, weil die Urheber dieser  modifizierten Trojaner auf (Ur-) alte Trojaner-Namen zurückgreifen, die  evtl teilweise oder ganz in den Archiven gelöscht wurden..  Das ist alles.

Allerdings  bin  ich der gleichen Meinung wie Du, daß man sich von einem im Internet gefangenen Programm nicht unterkriegen  lassen sollte.  Die Alternativ-Betriebssysteme liefen einwandfrei auf dem angegriffenen PC, nur bei Windows -Betriebssystem gab es diese  Probleme.

Ich hoffe, daß  ich im Falle eines Falles...  mit Deiner   Hilfe  rechnen darf ?

Viele Grüße
hobbiesurfer


----------

