Unerwuenschte Favoriten

Internet Browser
1

Hallo zusammen,
irgendwo in den unendlichen Weiten des Internets hab ich bzw. hat mein Rechner sich was eingefangen. Immer wenn ich die Kiste neu boote, sind im IE 5.5 in den Favoriten einige einschlaegige Webpages eingetragen (auf denen ich nie war, Ehrenwort!). Es sind auch immer die gleichen Seiten. Ausserdem ist meine Startseite auf irgendeine Suchmaschine eingestellt. Das kann ich zwar alles manuell wieder so einstellen wie ich es haben willl, aber nach dem naechsten booten ist es wieder so. Krieg ich das irgendwieirgendwo geaendert? Ich mag keine Sexseiten auf meinem rechner haben!!!
fragende Gruesse
Ralph

2

Nimm ‚Spybot S&D‘ von http://www.safer-networking.org/ ist extra für sowas da und wird auch deinen Rechner wieder auf Papstlevel - äh, sorry, Baptisten heissen die glaub ich bei euch, bringen.
Stefan

3

Stefan,
das war jetzt ein sehr netter Tip und der Spybot hat auch ein oaar Sachen gefunden, die ich gekillt habe, aber mein beschriebens Problem hat sich dadurch nicht loesen lassen. Irgendwelche andere Vorschlaege???
Ralph

4

hi ralph,

such den link in der registry und lösche ihn wenn was gefunden wird. Nur den link, nicht den ordner! Ausser du weisst was du tust :wink:

zur unerwünschten startseite kanni noch dies anbieten:
http://www.wer-weiss-was.de/cgi-bin/forum/showarticl…

lg,
fred

5

Schon im advanced mode von SB S&D unter Werkzeuge Systemstart gechecked? Wenn da was drinnsteht was sich nicht erschließt (anklicken öffnet ein Infofenster) erstmal deaktivieren, dann im Ordner Start/Programme/Autostart eventuell löschen oder in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
die entsprechenden Einträge löschen.
Wenn sich nach jedem Booten in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Einträge befinden, auch wenn gerade keine neue Software installiert wurde ist irgend eine unsaubere Software installiert, dann einfach mal bei Google den Wert des Eintrags als Suchekriterium nehmen, es gibt händische Anleitungen im Netz. Obwohl ich glaube das SB S&D hier ziemlich komplett ist…
Als letztes würde ich noch einen Virencheck machen, z.B. den Housecall von TrendMicro unter http://housecall.trendmicro.com/ wenn es dann immer noch nichts nützt, könnte es noch an irgendwelchen (Sicherheits)Richtlinien unter XP liegen (werden normalerweise von Administratoren benutzt um Rechner in Firmennetzwerken vor ungewünschten Veränderungen zu schützen), da bin ich allerdings überfragt was zu tun ist. sonst fällt mir im Moment nix mehr dazu ein…

Stefan

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

6

Kleine Ergänzung: die Richtlinien gibt es auch unter Windows NT und 2000 ob es Sie in der Homeedition von XP oder Windows 95/98/Me gibt ist mir nicht bekannt, halte ich aber für unwahrscheinlich…

Stefan

7

Stefan,Fred,
hilft alles nix. ich hab unten mal das Ergebnis von Spybot kopiert. Die Eintraege von CoolWWWSearch sind jedesmal da, auch wenn ich sie kille und das System immunisiere. Den DSO Exploit und Windows Media PLayer moechte ich nicht loeschen, weil weiss net was es ist. Von der Registry lass ich lieber die Finger. Mein Wissen hier beschraenkt sich darauf, dass es die Registry gibt und dass sie wichtig ist, da fummel ich lieber nicht rum.
Die homepage, die sich bei mir immer eintraegt ist von here4search.com und ueber die schreiben die Jungs von Spybot auch schon, dass die Seite sie nervt. Ich hab bei denen mal angefragt, wie ich das geloescht kriege, hab aber noch keine Antwort. In der host-Datei hab ich unter 127.0.0.1 localhost stehen und unter 66.40.16.131 mehrere unbeschreibliche Seiten, die ich nicht kenne. Kann ich die in der host einfach loeschen???
Ohjeohje, was mach ich nur?
Erstmal tausend Dankeschoen fuer Eure Hilfeversuche
Ralph

Spybot Ergebnis:
Avenue A, Inc.: Tracking cookie or cookie of tracking site (File, nothing done)
C:\Documents and Settings\RP01\Cookies\rp01@atdmt[1].txt

CoolWWWSearch: IE Search assistent (Registry change, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant=about:blank

CoolWWWSearch: IE Search bar (Registry change, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar=about:blank

CoolWWWSearch: IE Search page (Registry change, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page=http://www.google.com

CoolWWWSearch: IE Search url #1 (Registry change, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL=http://www.google.com

CoolWWWSearch: IE Start page (Registry change, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page=about:blank

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-2052111302-152049171-839522115-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

Windows Media Player: Client ID (Registry change, nothing done)
HKEY_USERS\S-1-5-21-2052111302-152049171-839522115-1005\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Windows Media Player: Client ID (Registry change, nothing done)
HKEY_USERS.DEFAULT\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

— Spybot-S&D version: 1.2 —
2003-11-05 Includes\Cookies.sbi
2003-11-05 Includes\Dialer.sbi
2003-11-24 Includes\Hijackers.sbi
2003-11-11 Includes\Keyloggers.sbi
2003-11-20 Includes\Malware.sbi
2003-03-16 Includes\plugin-ignore.ini
2003-11-12 Includes\QA Tests.sbi
2003-11-05 Includes\Security.sbi
2003-11-24 Includes\Spybots.sbi
2003-11-21 Includes\Temporary.sbi
2003-11-05 Includes\Tracks.uti
2003-11-21 Includes\Trojans.sbi

8

hoi ralph,

In der host-Datei hab ich unter 127.0.0.1 localhost

das muss so sein

unter 66.40.16.131 mehrere unbeschreibliche Seiten,
die ich nicht kenne. Kann ich die in der host einfach
loeschen???

nö die datei lösch nicht, die ip lösch raus, stattdessen schreibst
127.0.0.1
for jedem link (den du auf den grundlink beschränkst… also bis zu .com, .net etc.
um zu verhindern, dass die „hosts“-datei missbraucht wird, könntest sie schreibschützen

hab schon „gehört“ dass der „spybot“ auch nicht alles findet, aber wenn du deine hosts-datei um
127.0.0.1 hier der link der startseite bis zur endung (com,net etc.)
erweiterst, dann lädt er sie zumindest nicht, das hilft zwar nicht eine eigene startseite zu wählen… aber diese lädt dann nimma.

lg,
fred

9

re,

hast das schon probiert?

http://www.isrh.de/DE/service/virenundtrojaner/ie_un…
oder dies (unter anderem „spycop“):
http://www.spywareinfo.com/downloads.php

habi weiter oben gepostet

lg,
fred

10

Hier die Originaldatei von MS:

Copyright © 1993-1999 Microsoft Corp.

Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP

für Windows 2000 verwendet wird.

Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.

Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-

Adresse sollte in der ersten Spalte gefolgt vom zugehörigen

Hostnamen stehen.

Die IP-Adresse und der Hostname müssen durch mindestens ein

Leerzeichen getrennt sein.

Zusätzliche Kommentare (so wie in dieser Datei) können in

einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,

aber müssen mit dem Zeichen ‚#‘ eingegeben werden.

Zum Beispiel:

102.54.94.97 rhino.acme.com # Quellserver

38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

--------------------------------------------X8

So sollte die aussehen, wenn da mehr drinsteht oder was anderes und du nicht in einem Netztwerk hängst (dann erst Admin fragen) kannst du es IMHO *alles* löschen. Was Fred macht würde ich nicht empfehlen, Daten abändern ist glaub ich keine Lösung, das muss man aber selbst entscheiden, ich würde jedenfalls alles bis auf den localhost-Eintrag löschen oder zumindest auskommentieren (# davor).
Was die Entfernung aus der Registry betrifft, keine Panik (Eine Datenbank ist eine Datenbank und nicht Gott), solange du an Schlüsseln arbeitest die du kennst; Run/RunOnce etc. kann nicht schiefgehen. Das was passieren kann ist das ein Systray Icon (unten rechts) nicht mehr gestartet wird oder im allerschlimmsten Fall du Software nochmal Installieren mußt, das System wirst du damit aber nicht in die Knie zwingen (dazu brauch man Talent oder Murphy, ich wüsste auf Anhieb nicht wie ich das System sicher und komplett killen könnte).
Und im übrigen kannst du Schlüssel ja abspeichern bevor du sie löscht, ein Doppelklick auf den abgespeicherten Schlüssel und er wird wieder eingetragen…
Nun denn ich hatte keine Zeit eine Anleitung für die Entfernung von WWWCoolSearch zu suchen, kommt noch wenn du es noch brauchst…
Stefan

11

Stefan, Fred,
ich habs gefunden. WWWCoolSearch kann eontfernt werden mit dem CWSShredder unter http://www.spywareinfo.com/~merijn/cwschronicles.htm…
Gleichzeitig hat das auch Search4You gekillt, das mir immer die Homepage umgeleitet und unerfreuliche Seiten in die Favoriten geladen hat. Vielen Dank fuer Eure Hilfe.
beruhigte Gruesse
Ralph