Ich habe meine Mail-Konten bei Web.de. Die Hauptseite von Web.de ist gleichzeitig im IE6/SP2 (und weitere Patchs) als Startseite vermerkt (Menü Extras, Befehl Internetoptionen, Reiter Allgemein). Mein OS: WinXP/SP2.

Seit heute taucht beim Aufruf des IE statt der Startseite die folgende Adresse auf:

http://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=http://web.de

Den englischsprachigen Text kann ich schulbedingt nicht entziffern. Es soll aber ein Code, der auf der Seite zu lesen ist, eingegeben werden. Der Code ist in der neuartigen hackergeschützten Form zu lesen. Ich würde gerne die Bildschirm-Hardcopy beigefügen, doch sie ist zu groß (227 Kb).

Offensichtlich ist "das gewisse Etwas" sogar ein Chamäleon. Denn lade ich einen Favoriten, erscheint die im Favoriten hinterlegte Adresse. Z. B.:

http://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=http://support.microsoft.com./newsgroups/default.aspx

In den IE-Start-Optionen (Menü Extras) ist nichts verändert. Komischerweise taucht es nicht bei jedem IE-Aufruf auf.

Kernfrage: Was ist das?
Nachfrage: Wie werde ich diese Einstellung wieder los?

Herzlichen Dank für jede ernstgemeinte Hilfe.

Wollie

Hallo Wollie bitte poste ein HJT logfile nach dieser Anleitung. [http://www.trojaner-board.de/showthr...?t=17493]bitte auf die blaue schrift klicken[/url]

Lese dir am Besten auch das hier durch

Hallo DEPI!

Herzlichen Dank für die angebotene Hilfe.

Ich habe zwischenzeitlich Ad-Aware und Spybot drüber laufen lassen sowie vom IE6 aus alle Cookies, temp. Int.-Adressen und den Verlauf gelöscht. Auch habe ich den MS-Tipp 813444 abgearbeitet.

Ergebnis: Zur Zeit erscheint die seltsame Seite nicht mehr.

Doch ich möchte nicht auf halbem Weg stehen bleiben. Deshalb ist die HJT-Log-Datei sowie eine Kurz-Beschreibung des Dr.-Seltsam-Effektes beigefügt. Und doch, momentan erscheint mir dieser Effekt in einem etwas anderen Licht. Denn die Seite "http://captchas.net" (das ist die Adresse, die im CAPTCHA-Bild unten rechts zu lesen ist), macht auf mich einen positiven, seriösen und vertrauenswürdigen Eindruck. Nur, wieso erscheint die englischsprachige Seite als Startseite, obwohl so nicht eingetragen?

Ich wünsche mir, das Du Erfolg haben mögest und nochmals ein Dankeschön für Deine Unterstützung.

Wollie

PS: Ich habe die angesprochenen Dateien hochgeladen, finde aber auf diese keinen Hinweis. Ergänzende Frage: Wo kann ich als "Schreiberling" erkennen, dass die Dateien tatsächlich diesem Beitrag beiliegen?

Wenn du sie nach dem Schreiben im Beitrag siehst, und auch selber wieder herunterladen kannst, sind sie hochgeladen.

Also derzeit ist das nicht der Fall.

@Wollie
poste bitte ein HJT logfile nach dieser Anleitung
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

Liebe Vor-Schreiber!

Das mit den Anlagen hat also nicht geklappt. Also ergänze ich meinen gestrigen Eintrag (22:06 Uhr) wie folgt:

1. Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:44:10, on 01.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
D:\BRENN-~2\Nero\InCD\InCDsrv.exe
C:\windows\system32\brss01a.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\oodag.exe
D:\Kalender, Uhrzeit\Atomuhren\Atomuhr - ElMü-Soft - PTB

Sync\PTBSync.exe
C:\windows\system32\ZoneLabs\vsmon.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\windows\system32\wscntfy.exe
D:\Firewall, Virenkiller\Zone-Alarm\zlclient.exe
D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\jusched.exe
D:\Kalender, Uhrzeit\Atomuhren\Atomuhr - ElMü-Soft - PTB

Sync\PTBSync.exe
D:\Hardware\Tastatur\H&H\MMHotKey.EXE
D:\BRENN-~2\Nero\InCD\InCD.exe
C:\windows\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\windows\system32\ctfmon.exe
D:\Registry-Hilfen und Prg\TuneUp\TuneUp 2004\MemOptimizer.exe
C:\windows\system32\HDDSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\windows\system32\taskmgr.exe
C:\windows\explorer.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\DFÜ + Internet\Anonymisierer, Tarnkappe\ArchiCrypt

Stealth\ACStealth3.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\Ati2evxx.exe
D:\DFÜ + Internet\Anti-Browser-Hijacking\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL

= h**p://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =

xxx Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyServer = h**p=localhost:8080,h**pS=localhost:8080
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

E:\Text-Verarbeitung\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class -

{AE7CD045-E861-484f-8273-0445EE161910} -

E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} -

D:\DF_INT~1\DOWNLO~1\STAR-D~1\SDIEInt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -

E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Zone Labs Client] D:\Firewall,

Virenkiller\Zone-Alarm\zlclient.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE

TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SunJavaUpdateSched]

D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PTBSync] D:\Kalender, Uhrzeit\Atomuhren\Atomuhr -

ElMü-Soft - PTB Sync\PTBSync.exe /Start
O4 - HKLM\..\Run: [KE9801] D:\Hardware\Tastatur\H&H\MMHotKey.EXE
O4 - HKLM\..\Run: [InCD] D:\BRENN-~2\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [HDInspector.exe]

D:\Hardware\Laufwerke\Festplatten, -Hilfe, -Manager und

Disk-Manager\Festplatten-Inspektor\HDInspector.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe

bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI

Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task]

"E:\Multimedia\QuickTime\QuickTime.6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [ArchiCrypt Stealth] D:\DFÜ +

Internet\Anonymisierer, Tarnkappe\ArchiCrypt Stealth\ACStealth3.exe

-HIDE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Registry-Hilfen und

Prg\TuneUp\TuneUp 2004\MemOptimizer.exe" autostart
O4 - Startup: Laufwerk C - xxx.lnk = C:\windows\explorer.exe
O4 - Startup: Laufwerk F - xxx.lnk = C:\windows\explorer.exe
O4 - Global Startup: ACStealth3.lnk = ?
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI

Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Task-Manager.lnk =

C:\windows\system32\taskmgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

present
O8 - Extra context menu item: Convert link target to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

apture.html
O8 - Extra context menu item: Convert link target to existing PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

aptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF

-

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

apture.html
O8 - Extra context menu item: Convert selection to existing PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppend.html
O8 - Extra context menu item: Convert to Adobe PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEC

apture.html
O8 - Extra context menu item: Convert to existing PDF -

res://E:\Text-Verarbeitung\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEA

ppend.html
O8 - Extra context menu item: Download with Star Downloader -

D:\DF_INT~1\DOWNLO~1\STAR-D~1\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://E:\BRO-PA~1\MS-OFF~1\MS-OFF~1.03\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

D:\Programmier-Sprachen\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Knowledge Base Suche -

{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -

h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO

(file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche -

{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -

h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO

(file missing)
O9 - Extra button: Recherchieren -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

E:\BRO-PA~1\MS-OFF~1\MS-OFF~1.03\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=h**p://www.lycos.de/
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload

Control) - h**ps://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl

Class) -

h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/c

lient/wuweb_site.cab?1112287532406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl

Class) -

h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/cli

ent/muweb_site.cab?1120903111125
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\windows\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother

Industries Ltd - C:\windows\system32\brsvc01a.exe
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft

(h**p://www.altrixsoft.com/) - C:\windows\system32\HDDSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG -

D:\BRENN-~2\Nero\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. -

C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mst Defrag Service (mstDfrgS) - Unknown owner -

D:\Deframentierung\mst Defrag\mstDfrgS.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH -

C:\windows\system32\oodag.exe
O23 - Service: Atomuhr Synchronisation (PTBSync) - ElmüSoft -

D:\Kalender, Uhrzeit\Atomuhren\Atomuhr - ElMü-Soft - PTB

Sync\PTBSync.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\DFÜ +

Internet\Beschleuniger;

Geschwindigkeits-Überwachung\TDSL-SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC

- C:\windows\system32\ZoneLabs\vsmon.exe

>>> Ich hoffe, ich habe es jetzt richtig gemacht <<<


2. Meine Notizen
zu der seltsamen Url. hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=http://xxx
(als direkte Ergänzung zu meinem gestrigen Beitrag (22:06):

Was ist das für eine seltsame Adresse?

Sie taucht seit heute, 31.10.2005, auf, wenn ich den Internet-Explorer aufrufe und damit die Startseite web.de geöffnet werden soll. Während der 1. Teil der Url. stets gleich bleibt, passt sich der 2. Teil der Adresse des letzten Aufrufes an.

Zum Beispiel:

hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=hxxp://www.web.de/

oder

hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=hxxp://support.microsoft.com./newsgroups/default.aspx

Beispiel (Hardcopy/Bild 1):

oder

hxxp://coblitz.cs.princeton.edu/cgi-bin/test.cgi?url=hxxp://www.archicrypt.com./

Sofern in diesem Text keine Hardkopien zu sehen sind:
Der Text der Seite, die erscheint, lautet wie folgt:

"Please identify yourself as a human
You are now using the CoDeeN content distribution network.
(If you don't know what this means, please check your brower's proxy setup.) We are trying to differentiate the service between humans and robots. Once you are recognized as human, you will be given *more bandwidth* through CoDeeNas long as you don't attempt to abuse our system afterwards.

Could you please take a moment and identify yourself as a human?

Please enter the following characters:"
(danach sind in einem Kästchen die Zeichen des CAPTCHA-Bildes einzugeben).

Übersetzung laut Google:

Kennzeichnen Sie sich bitte, wie ein Mensch Sie jetzt das zufriedene Verteilungsnetz CoDeeN benutzen. (wenn Sie nicht wissen, was dieses Mittel, bitte Proxyeinstellung Ihrer browers. überprüfen), Wir versuchen, den Service zwischen Menschen und Robotern zu unterscheiden. Sobald Sie als Mensch erkannt werden, werden Sie * mehr Bandbreite * durch CoDeeN so lang gegeben, wie Sie nicht versuchen, unser System danach zu mißbrauchen. Konnten Sie einen Moment bitte dauern und als Mensch sich kennzeichnen? Tragen Sie bitte die folgenden Buchstaben ein:

Reduziere ich die Url. auf: "hxxp://coblitz.cs.princeton.edu/", erscheint folgendes Fenster (Hardcopy/Bild 2):

Gehe ich auf "hxxp://captchas.net" (das ist die Adresse, die im CAPTCHA-Bild unten rechts zu lesen ist), gelange ich auf folgende Seite, und die erscheint positiv, seriös und vertrauenswürdig (Hardcopy/Bild 3):

Woher kommt das anfängliche verwirrende Verhalten des IE? Wie konnte sich die Captcha-Seite beim Aufruf des IE vor die Start-Seite schieben?

Herzlichen für die Hilfe.

Wollie