hallo zusammen,
ich habe bei einem freund von mir das problem, das wenn er den ie startet immer eine pornoseite als startseite kommt. im adressfenster steht dann was mit c:\windows\start.chm usw.
weiß jemand wie man das wieder weg bekommt?? ich habe es schon mit folgenden sachen probiert:
AdAware
SpyBot
CWShredder
HiJackThis
SpyWare Blaster
habe es aus der regedit gelöscht
habe die datei selber gelöscht

leider habe ich jetzt keine ideen mehr. nichts hat funktioniert.
kann mir jemand helfen wie ich das wieder weg bekomme??

danke im voraus
BeTZe

so, hier auch noch die log von hijack this:

Logfile of HijackThis v1.97.7
Scan saved at 10:03:16, on 08.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\totalcmd\TOTALCMD.EXE
D:\Install\Antimistscheiss\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: SpywareBlaster.lnk = D:\Programme\SpywareBlaster\spywareblaster.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft\Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

BeTZe

Hi BeTZe,

willkommen an Board. [img]smile.gif[/img]

MSIE: Internet Explorer v6.00 6.00.2600.0000)
Bitte http://windowsupdate.com besuchen und alle Sicherheitsupdates installieren. Da müsste imho was sein...

In HijackThis fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html

Such mal nach einer Datei start.html, die kann dann auch weg. Mehr fällt mir nicht auf.

Danach Neustart, und dann sollte es das gewesen sein.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Ich habe genau das beschriebe Problem, und werde es auch nicht los.

Ich bekomme immer diese Startseite:



Habe schon die Dateien in WINNT gelöscht, aber das bringt auch nichts.


HJackThis sagt das HIER , das hab ich auch schon gefixt, aber das bringt auch nichts.

Was könnte mir noch helfen?

Habe Win2000 und IE6

Vielen Dank, Gruss Thomas

[ 09. April 2004, 12:13: Beitrag editiert von: schuh ]

Diese Malware wgelangt über eine seit Ende letzten Jahres bekannte, aber bis dato von Microsoft noch nicht gefixte Sicherheitslücke im Internet Explorer auf die System IE-nutzender User.

Das Problem wird bereits in mehreren Foren diskutiert. Eine Lösung wurde noch nicht gefunden, da mit den gängisten Mitteln bis dato keine Lokalisierung möglich war:

http://spotlight.de/zforen/int/m/int...603-12378.html

Wäre nett, wenn mir mal jemand diese htm-Datei zusenden könnte.

Die "Start" Html?

Gerne!

Hier (die Start.chm und die Start.html mit WinRAR gepackt)


Will mich nicht ewig mit dem Ding rumärger. Gibt es dann noch eine Alternative zum formatireren? Hilft das "reparieren" das kurz vor dem formatieren kommt auch schon?

Gruss Thomas

Wirst du bei einer Suche in der Registry nach der Datei start.chm fündig?

Also ich habe das Problem gerade vielleicht behilfsmäßig gelöst. Ich habe "start.html" und "start.chm" beide jeweils mit dem Editor von WinXP geöffnet und den kompletten Inhalt einfach gelöscht. Nun habe ich beide Dateien schreibgeschützt und sie im Ordner gelassen. Dadurhc hoffe ich können keine neuen generiert werden und dadurch das "start.chm" nun leer ist wird meine Startseite auch nicht mehr umgeändert. zZ habe ich wieder meine alte Startseite und sie wurde auch noch nicht mehr geändert. Werde mich melden, falls ich wieder einen Rückfall hab

</font><blockquote>Zitat:</font><hr />Original erstellt von motoko:
Werde mich melden, falls ich wieder einen Rückfall hab </font>[/QUOTE]Ja bitte, ich bin an dem Thema sehr interessiert.

mmk : Gibt es Neuigkeiten ? Hast du ein paar links für mich, ich bin, wie gesagt, sehr interessiert.


Domino

</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
Wirst du bei einer Suche in der Registry nach der Datei start.chm fündig? </font>[/QUOTE]Nein, nichts!!!

</font><blockquote>Zitat:</font><hr />Original erstellt von motoko:
Also ich habe das Problem gerade vielleicht behilfsmäßig gelöst. Ich habe "start.html" und "start.chm" beide jeweils mit dem Editor von WinXP geöffnet und den kompletten Inhalt einfach gelöscht. Nun habe ich beide Dateien schreibgeschützt und sie im Ordner gelassen. Dadurhc hoffe ich können keine neuen generiert werden und dadurch das "start.chm" nun leer ist wird meine Startseite auch nicht mehr umgeändert. zZ habe ich wieder meine alte Startseite und sie wurde auch noch nicht mehr geändert. Werde mich melden, falls ich wieder einen Rückfall hab </font>[/QUOTE]Danke, habe es jetzt auch erstmal so laufen...

Moin, Moin !! und Frohe Ostern !!

Hab dasselbe doooofe Problem, wie schuh oben erwähnte, werd den Mist auch net wieder los!! Bin allerdings auch ein wenig ein Noob, hab also net ganz soviel Plan davon. Problem Nr. 1 (jetzt bitte nicht so dolle lachen...) wo, bzw. wie finde ich die registry??? Hab bisher über dateien suchen, dann start.chm, das miststück gefunden, dann gelöscht, runtergefahren, wieder hoch und systemwiederherstellung wieder aktiviert, einmal klappt das dann, wenn der browser dann neu gestartet wird, ist der sch**** wieder da !!???

danke für evtl antworten, und denkt bitte dran, nicht soviel fach-chinesisch, hier sitzt einer vom land...

Hallo wsw - Welcome on Board

</font><blockquote>Zitat:</font><hr /> wo, bzw. wie finde ich die registry??? </font>[/QUOTE]Jeder hat mal angefangen [img]smile.gif[/img]

Du klickst auf Start - dann `Ausführen` anklicken und regedit eingeben und auf OK klicken.

Versuchs mal hiermit Onlinescan

Ein Browerwechsel ist auch zu empfehlen
Firefox

@wsw:
was möchtest du denn in der registry tun? sei bitte sehr vorsichtig mit dem löschen!