# Verdeckte Browserverbindungen



## SirHenrY61 (2 Juni 2004)

Hi, ich hoffe mir kann jemand weiterhelfen.

Seit einiger Zeit ist meine Internetverbindung irgendwie komisch. Viele Adressen die ich eingebe, werden nicht gefunden bzw, erst beim zweiten Mal, außerdem werden fast alle Adressen immer über einen Umweg, eine Seite mit .cc am Ende, angewählt. Oft stehen die Adressen auch mit einer Ellenlangen Zahlenkombination vorne dran in der Leiste.  Und wenn ich die Verbindungen mit netstat anzeigen lasse, finden sich meistens neben den gewünschten auch noch andere (irgendwas mit the-panet.com oder so).  

Nachdem ich mich hier schon mal umgesehen hatte, konnte ich zumindestens schon mal einige Reg-Veränderungen rückgängig machen, die Start und die Search Page waren dort verändert von Search-the-web oder so ähnlich. Das oben genannte Problem ist aber bis jetzt nicht behoben.  
Adaware habe ich eben mal runtergeladen, das hat 32 Dateien gelöscht, gebracht hats nichts, was könntet Ihr mir noch empfehlen?? Ich weiß nicht recht was ich davon halten soll???


----------



## haudraufundschluss (2 Juni 2004)

Das hört sich nach Browser-Hijacking an. Welches Betriebssystem verwendest Du und welchen Internet-Explorer?


----------



## Anonymous (2 Juni 2004)

SirHenrY61 schrieb:
			
		

> ... was könntet Ihr mir noch empfehlen?? Ich weiß nicht recht was ich davon halten soll???



1. Auch mal mit Spybot überprüfen!

2. Hijack-This herunterladen und das Ergebnis hier posten, dann wird gefixt!

3. *Keinen IE nutzen!* - besser Mozilla oder Opera!


----------



## Captain Picard (2 Juni 2004)

Gast_pp schrieb:
			
		

> 3. *Keinen IE nutzen!* - besser Mozilla oder Opera!


Noch besser Firebird , schneller und handlicher (auch von Mozilla) 

ab und zu gibt es  schon mal Seiten  für die man IE braucht, dann kann man sich immer noch 
den IE auf den Monitor holen  

cp


----------



## Anonymous (2 Juni 2004)

Captain Picard schrieb:
			
		

> Noch besser Firebird , schneller und handlicher (auch von Mozilla)



... oder den feurigen Fuchs!  Bald wird Version 0.9 erscheinen. Den Firefox tunen und dann noch ein paar nützliche Erweiterungen ... den Reklameblocker zum Beispiel ...

*Mozilla-Erweiterungen*

... und schon hat SirHenrY61 einen modernen Browser, der sich an die W3C-Empfehlungen hält!


----------



## SirHenrY61 (2 Juni 2004)

ja hm nutze natürlich IE 5 bzw. den T-Online Browser...hab hier irgendwo gelesen, das wäre praktisch das selbe wie IE. ok danke erstmal ich werds mal eben ausprobieren..


----------



## SirHenrY61 (3 Juni 2004)

puuh, ok soweit hab ich alles gemacht wie angeordnet. also Spybot hat verschiedene Dingers gefunden und entfernt, womit jetzt auch diese seltsame Umleitung auf die komische ehttp.cc seite weg ist, und andere Seiten sind jetzt auch nicht mehr aktiv. Komischerweise muss man jetzt aber immer das http:// vor jede Adresse tippen, wieso geht denn nicht mehr nur www.??? also wenn ihr mir noch schnell sagt wie ich das zurückkriege, dann bin ich total glücklich
danke erstmal


----------



## Devilfrank (3 Juni 2004)

guckst du:


----------



## SirHenrY61 (3 Juni 2004)

tja, danke war nicht aktiviert, hilft aber nicht, keine Veränderung da.
hier mal die Fehlermeldung:


----------



## SirHenrY61 (3 Juni 2004)

die 2te geht grad nicht zu posten, ist nur ein leeres Windowswarn dingens mit nem OK Schalter drinne, ach mann sowas nervt doch


----------



## Counselor (3 Juni 2004)

In dem Ordner 

C:\winnt\system32\drivers\etc gehen. Dort die Datei HOSTS mit dem Editor öffnen.

Dann folgenden Eintrag setzen

```
web.de      217.72.195.42
```

Zwischen web.de und der IP Adresse den Abstand durch drücken der Tabulatortaste erzeugen.

In der Kommandozeile 
	
	



```
ping localhost
```
 und 
	
	



```
ping web.de
```
 eingeben und das Ergebnis posten.


----------



## SirHenrY61 (3 Juni 2004)

hm, und was bringt das nu wieder??


----------



## Counselor (3 Juni 2004)

Es zeigt dass der Name web.de zur korrekten IP aufgelöst wird, und eine physikalische Verbindung zu Web.de hergestellt werden kann. Das schließt eine Menge Fehler aus.

Weitere Fehlerquelle wäre der MTU Wert


> Beim Client den MTU Wert auf 1492 Bytes, besser auf 1300 Bytes zurücksetzen. Den genauen MTU können Sie mit
> 
> PING -l MTU Ziel-IP
> 
> ...


----------



## SirHenrY61 (3 Juni 2004)

puuuh, ok aber ist das jetzt immer nur für eine einzige Seite gültig?? oder für alle? ich mein das Problem liegt ja nicht bei web.de sondern bei allen Seiten die ich irgendwie aufrufen will. 
na ich mach erstmal
*10 minuten später*
ok also der Wert wäre 1464, wobei ich aber diesen Ordner im Regedit nicht finden kann, tja, wäre ja auch zu toll wenns auf Anhieb klappt.  :crazy:


----------



## Counselor (3 Juni 2004)

Eine weitere Möglichkeit ist ein Fehler im Cache des Internet Explorer. 
Extras -> Internetoptionen -> Cookies löschen, Dateien löschen
-> Einstellungen -> Objekte anzeigen und alle Plugins reparieren (unnütze Plugins oder solche dubioser Herkunft löschen).
Außerdem sollte der Cache des IE in folgendem Verzeichnis liegen:

%userprofile%\Lokale Einstellungen\Temporary Internet Files

(In Ermangelung anderer Angaben gehe ich von WinXP aus).


----------



## SirHenrY61 (4 Juni 2004)

oh sorry nee is Win98    

hm, is auch erst seit ich dieses Spybot S&D benutzt habe..


----------



## SirHenrY61 (5 Juni 2004)

Moin, ok ich  hab jetzt mal Hijackthis laufen lassen, hier das Ergebnis:
hoffe Ihr findet noch irgendwas, was helfen könnte

Logfile of HijackThis v1.97.7
Scan saved at 08:30:58, on 05.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVAE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\HP DESKJET 610C SERIES\EREG\REMIND32.EXE
C:\PROGRAMME\ADOBE\ACROBAT 6.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PGSEXE.EXE
C:\T-Online4\BSW4\ONLINE.EXE
C:\T-ONLINE4\BSW4\TODUCALC.EXE
C:\T-ONLINE4\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\DESKTOP\HENRY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://.....101.250/sbms/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ho....age.com @www......nder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ho....age.com @www....nder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ho....com @www. ...nder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.t-online.de
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [F-STOPW.EXE] C:\Programme\FSI\F-Prot\F-STOPW.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKCU\..\Run: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Reminder-hpc41004.lnk = C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: AIM (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O13 - DefaultPrefix: 
O13 - WWW Prefix: 
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted Zone: http://suche.web.de
O15 - Trusted Zone: http://www.gmx.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.re.......187195715/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab


----------



## Counselor (5 Juni 2004)

Ich würde das Zeug entfernen:

```
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://.....101.250/sbms/ 
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ho....age.com%[email protected]/search/ (obfuscated) 
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ho....age.com%[email protected]/search/ (obfuscated) 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%[email protected] ...nder.cc/search/ (obfuscated) 
O13 - WWW. Prefix: http://%65%68%74%74%70%2E%63%63/?
```
Wenn du dem Internet Explorer treu bleiben willst, dann wäre ein Update auf Internet Explorer 6 nicht ganz verkehrt:
http://www.microsoft.com/downloads/...FamilyID=1e1550cb-5e5d-48f5-b02b-20b602228de6


----------



## virenscanner (5 Juni 2004)

> O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.re.......715/netzip/RdxIE601_de.cab


Das sollte auch besser weg...


----------



## SirHenrY61 (5 Juni 2004)

heyho, na endlich, ich hatte es schon fast nicht mehr geglaubt aber jetzt funktioniert wieder alles. habe den IE upgedatet, das hats gebracht. 
So ich hab aber noch ne Frage: Meint Ihr mit solchem Browserhijacking könnte auch Kreditkarten-Betrug betrieben werden?? Auf meine Kosten?? 
Oder is das total abwegig?


----------



## Counselor (5 Juni 2004)

SirHenrY61 schrieb:
			
		

> Meint Ihr mit solchem Browserhijacking könnte auch Kreditkarten-Betrug betrieben werden?? Auf meine Kosten??
> Oder is das total abwegig?


Irgendwelche Kontozugangsdaten oder Kreditkartendaten sollte man keinesfalls ohne Verschlüsselung (zB durch Pretty Good Privacy oder Stegnos Security Suite) auf dem Rechner speichern und auch nicht unverschlüsselt über das Internet senden.


----------

