IE Starseite

Hallo,

ich benötige Hilfe zum Durchblick. Im IE 6 SP1 unter Win XP Home SP1 ist bei mir standardmäßig die Startseite "obout:blank" eingestellt. Wenn das Programm Ad-Aware scannen lasse, bekomme ich eine Meldung die lautet " 1 Neues Objekt, 1 Reg. Daten identifiziert". Nach "Weiter" folgt die Meldung "HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main "StartPage" ("about:blank") und "Möglicher Browser-Hijack Versuch". Im Grunde also doch ein ganz legaler Eintrag. Wenn ich lösche, meldet sich erst einmal 0190 Warner zu Wort mit der Meldung: Alte Startseite: obout:blank, Neue Startseite: "http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home". Erlauben Ja oder Nein. Unter den Internetoptionen des IE ist jetzt als Startseite angegeben: "http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home". Wenn ich die Änderung nicht erlaube, ist wieder "about:blank" eingetragen und Ad-Aware gibt mir dann beim nächsten Durchlauf wieder die Meldung wie anfangs beschrieben aus. Übrigens, ich habe versucht die zuvor beschriebenen Adresse einmal anzuwählen. Die Seiten wurden nicht gefunden.

 

Hallo hphk

Lade dir mal HijackThis herunter, führe es aus und poste den Log hier. Beende allerdings, bevor du HijackThis startest, den Internet Explorer.

Edit: Thread

Bitte die Regeln beachten, hier Punkt 5.

Gruß
Nevok

 

Und nun verrate mal bitte, wie du das geschafft hast, dass about:blank in deinem Beitrag von der Forensoftware nicht mit einem Leerzeichen vor dem ":" erweitert wurde.

Komisch, da haben wohl Geister die Hand im Spiel . ,mal so, mal so.

 

Und warten bis die nächste Refernzdatei von Adaware geliefert wird, damit about:blank nicht weiterhin als HiJacker erkannt wird.
Gruß

 

Adaware meckert, wenn es about:blank findet.
Die richtige leere Startseite darf, wenn du sie mit Rechtsklick > Quelltext anzeigen betrachtest, nur eine Zeile enthalten:

<HTML></HTML>

 

Hallo Döskopp u.a.,

vielen Dank für Eure Hilfestellungen. Die Sache ist für mich doch komplizierter als ich dachte, mein Sachverstand reicht da nicht aus. Ich werde im IE nach wie vor die leere Startseite eingestellt lassen. Wenn Ad-aware wieder einmal meckert, werde ich den Eintrag nicht löschen, sondern einfach ignorieren in der Annahme, dass eine Leerseite keinen Schaden anrichten kann.

Bis bald
hphk

 

Zum Thema Durchblick @hphk:

Wie erwähnt ist gegen 'microsoft.com' ansich nichts einzuwenden (falls man das als Start- / SearchPage so haben will). - An dem kryptischen Zeug dahinter ist CLSID (ClassID) interessant. Es handelt sich um ActiveX- Steuerelemente. Untersucht man per [1], [2]. Bei Dir kommt 0x0407 (hexadez. 407) vor. Was das ist sagt Methode [1], indem man nach '407' im linken Baum sucht. Methode [2] offenbart die entsprechende Download-Page, falls die Seite der anfordernden URL keinen lokalen Code finden kann.

Im praktischen Fall enthält der HTML-Code CODEBASE=/download/ .. /datei.cab und bei aktiviertem ActiveX vollzieht sich völlig transparent der Download [3]. *urggh* Man sollte also (per [2]) sehr genau wissen, welche Steuerelemente (und wozu) man braucht.

Hmm, Geheimnis: ActiceX ist bei mir grundsätzlich AUS.
____________

[1] 'regedit' aufrufen + HKCR/ CLSID einsehen
[2] Extras/ IOptionen/ temp.I-Dateien/ Einstellungen/ Objekte
[3] MS-Internet-Expl. Techn. Referenz p.473 (Anhang B)

 

Da steht sie unter Anderen, leicht abgewandelt als Standard nach der Installation von Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\WebJITURLs
auch beim Mediaplayer, Hotmail etc.

 

@ hphk

Wenn ich mich nicht irre, dann ist diese "h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch", der Microsoft eigene Suchdienst.

Aber diese genannte w**.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home ist mir völlig unbekannt, vielleicht kann dir noch ein anderer User helfen.

Installiere Spybot 1.3 Final und scanne dein System.

 

Für den Fall, dass die geänderte Startseite immmer wiederkommt...


Die Startseite ist in einer REG-Datei, einem Script oder...
(meistens) im Klartext abgelegt. Bleibt also die textsensi-
tive Suche nach diesem String (über die Systempartition).

Falls im Autostart oder HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run nichts zu finden ist, gehts auch
per Hive-Zuladung in die Registry (wird hier beschrieben).

Rückfrage: Gibt es in der Registry unter HKLM/../Run
einen 'regedit -s Datei.REG' -Eintrag? - Dann hätten wir den
Schuldigen.

Also: Registry-Eintrag (in HKLM/... /run) löschen, Datei.REG löschen.

__________________________
Ein Beispiel ;-)

--------------- sys.reg
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://t.rack.cc/h.php?aid=227"
"HOMEOldSP"="http://t.rack.cc/h.php?aid=227"
"Search Bar"="http://t.rack.cc/s.php?aid=227"
"Search Page"="http://t.rack.cc/s.php?aid=227"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://t.rack.cc/s.php?aid=227"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://t.rack.cc/h.php?aid=227"
"HOMEOldSP"="http://t.rack.cc/h.php?aid=227"
"Search Bar"="http://t.rack.cc/s.php?aid=227"
"Search Page"="http://t.rack.cc/s.php?aid=227"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://t.rack.cc/s.php?aid=227"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sys"="regedit -s sys.reg"
---------------

Dies nach (zB.) ..\system32 (Hauptsache auffindbarer Pfad) als SYS.REG sichern und gemäss letzter Zeile! Registry-Eintrag ("sys"="regedit -s sys.reg" in HKLM/.. /run) erzeugen. Booten.

=> Deine neue Startseite heisst 't.rack.cc'


Damit ist klar, wie man es macht UND wie man es wegkriegt.

 

Eintrag markieren und Fix checked ausführen.
about:blank (ohne Leerzeichen) ist übrigens die ganz normale leere Seite.

 

Hallo Cidre,

ich weiß nicht, wie ich die von Dir erwähnte Zeichenfolge bearbeiten soll. In der Registry habe ich sie in mehreren Schlüsseln gefunden (Zahlen u. Buchstaben innerhalb der Klammern). Bitte noch eine kleine Hilfe.

Gruß und danke
hphk

 

Hallo hphk,

diesen Eintrag fixen:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

Ansonsten ist die Log sauber.

 

Hallo Nevok,

hier der Inhalt von HijackThis.log:

Logfile of HijackThis v1.97.7
Scan saved at 22:14:01, on 17.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\csrss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
d:\programme\0190 warner\w0svc.exe
D:\WINXP\System32\alg.exe
D:\WINXP\System32\GEARSec.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
D:\WINXP\System32\nvsvc32.exe
D:\WINXP\System32\SCardSvr.exe
D:\WINXP\System32\SLEE401.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
D:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
D:\WINXP\System32\WFXSVC.EXE
D:\WINXP\system32\fxssvc.exe
D:\Programme\WinFax\WFXMOD32.EXE
D:\WINXP\Explorer.EXE
C:\Programme\Microsoft IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
D:\Programme\Microsoft Hardware\Keyboard\type32.exe
D:\PROGRA~1\WinFax\WFXSWTCH.exe
D:\WINXP\System32\wfxsnt40.exe
D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe
D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
D:\WINXP\system32\ZoneLabs\vsmon.exe
D:\WINXP\system32\ntvdm.exe
D:\WINXP\system32\csrss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\Explorer.EXE
C:\Programme\Microsoft IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
D:\Programme\Microsoft Hardware\Keyboard\type32.exe
D:\PROGRA~1\WinFax\WFXSWTCH.exe
D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\WINXP\System32\ctfmon.exe
D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
D:\Programme\Total Commander\TOTALCMD.EXE
D:\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft IntelliPoint 4.1\Mouse\SETUP\MSH\Mouse\point32.exe
O4 - HKLM\..\Run: [IntelliType] "D:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] D:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.LNK = D:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe
O4 - Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37885.5358680556
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Gruß
hphk