---

Geschrieben von lumex am 17.01.2004 um 18:15:

  IE Favoriten K.O.!

OS: Win XP Prof. SP 1, IE6 SP1
Eingerichtet als Standard Benutzer.
Erstmaliger Test-Einsatz von Secure Point PC Firewall 3.1
----------------------------------------------------------------------------

Es ist mir Folgendes passiert:

Nach dem Aufsuchen einer :vader Seite wurde mein Explorer so manipuliert, daß die Favoriten nicht mehr vorhanden sind.
Ich vermute, durch einen Script.

D. h. die Anzeige des Favoriten-Menüs erscheint als ein grauer Block ohne Inhalt. Es lassen sich auch keine mehr Importieren oder Exportieren.

Andere Benutzer oder Admin sind davon unberührt.

Im Dateiensystem ist der Ordner Favoriten samt Dateien weiterhin vorhanden.
SecurePoint meldete eine Veränderung im Zugriff auf ein anderes Modul
( *.dll Datei von Microsoft) und reagierte.

Nach der Deinstallation von SecruPoint blieb alles unverändert.
Mehrere Virus/Trojan Scanner ohne Befund.

Es stellt sich jetzt die Frage wie weit wurde etwas verändert, bzw.
wie bekommt man die Favoriten wieder angezeigt.

Entweder ist in der Registry oder im Benutzer-Verzeichnis etwas verändert worden. Vermute das Letztere. Konnte allerdings nichts Auffälliges finden.

Wäre dankbar für einen Hinweis und keine Belehrung.

---

Geschrieben von Kiesewetter am 17.01.2004 um 19:28:

 

Zitat:

Wäre dankbar für einen Hinweis und keine Belehrung

was soll das denn ???

lies mal diesen Thread , da war das Problem ähnlich

---

Geschrieben von Trinity am 17.01.2004 um 19:33:

 

@lumex

Die von dir erwähnte "Belehrung" bezog sich ganz klar auf unsere Forenregeln. Du beschreibst hier nochmal die gleiche Problematik wie in dem von mir geschlossenem Thread , wo dein Problem nach aufsuchen einer serialz Seite entstanden ist.

Dein Darth Vader Symbolersatz hier in diesem Thread ändert nichts daran, also was soll das bitte?

Trinity

---

Geschrieben von lumex am 17.01.2004 um 23:38:

  Favoriten komplett nicht vorhanden

@Kiesewetter


vielen Dank für den Hinweis. Leider bin ich damit nicht weitergekommen.

Habe den kompletten Registry Eintrag in:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

erneuert, Spybot durchlaufen lassen ohne Erfolg.

*.temp, Verlauf, cookies, Temp. Internet files etc. waren gelöscht.
IE-Settings auf Standard.

Die Änderung muß im Bereich des current users Pfad/Verzeichnis oder in der Registry liegen.

Habe zu dem besagten Zeitpunkt die hochgelobte Firewall Secure Point getestet. Und die kann man leider nur auf solchen sitez testen.

Mit ZoneAlarm Pro ist mir so etwas noch nicht passiert.

Ich glaube es wird einfacher sein den kompletten User herauszunehmen und einen neuen einzurichten.

Es ist nur unbefriedigend, die Ursache, bzw. den Verursacher nicht gefunden zu haben.

---

Geschrieben von Tux am 18.01.2004 um 00:11:

 

seit wann braucht die bewußten Seiten, um eine Firewall zutesten?

schnapp dir den Sicherheits-Workshop , ganz unten gibts die Möglichkeit zum Selbsttest.
Es wurd hier auch schon öfter erwähnt, daß man Adaware und Spybot einsetzen sollte, weil die sich sehr gut ergänzen.

Die Erfahrung hab ich auch gemacht e

---

Geschrieben von lumex am 18.01.2004 um 01:27:

  Negative script, activeX Elemente

@Tux
Wie sol man sonst Script-Attacken testen?

Den Workshop kenne ich bereits.

Ich hatte Eingangs erwähnt, dass alle Scans, u. a. Adaware/Spybot
und diverse Virenscans zum Einsatz gekommen sind.

Es geht hier auch nicht darum Trojaner/Viren/Würmer/Spyware etc. aufzuspüren, sondern eine scriptbedingte Veränderung am IE des Current Users wiederherzustellen, bzw. deren Root zu finden.

Wenn man im I-Explorer vbscript, jscript und evtl. activeX
deaktiviert wird man nicht viel Freude am Surfen haben.

Oder man wird sich vor Eingabeaufforderungen nicht retten können.

Beim ZoneAlarm Pro :wand läßt sich das viel schneller mit Mobile Code Control (java-,vbscript, etc.) oder Web Filtering je nach Bedarf aktivieren oder deaktivieren.

---

Geschrieben von Wallace am 18.01.2004 um 02:19:

 

Hello

aus der Ferne wird es schwer bis unmöglich den genauen Vorgang zu verifizieren.
Das Einzige was mir spontan dazu enfällt, wäre die Reparatur des Benutzerprofils wie es hier beschrieben wird.


Wallace

---

Geschrieben von lumex am 18.01.2004 um 13:26:

  Agressive Scripts & Co

@Wallace

Danke Wallace,
ja, dass ist das was ich meinte mit neuen Benutzer einrichten.

Bei dem Hinweis von MS ist das mit "neues Profil anlegen" und altes löschen erklärt.

Geht ja auch schnell und die Inhalte kann man ja auch vom alten Profil übernehmen, Favoriten etc. Das klappt ja auch ohne Probleme.

Nur für die Ursachenforschung ist das aus technischer sicht höchst unbefriedigend. Denn die Verursacher haben gerade das mit ihrem Script beabsichtigt und schließlich auch erreicht.

Wenn die Firewall nicht zugemacht hätte, auch wenn verspätet, wäre sicherlich die Sache nicht so einfach gewesen.

Nicht auszudenken was dieser Augenblick im Admin-Profil ausgerichtet hätte :wiwo, wie es mein Sohn aus Trägheit ab und zu tut um seine teilweise dubiosen Game Sites im WWW :firedevil Dschungel aufzusuchen.

---

Geschrieben von Kiesewetter am 18.01.2004 um 14:45:

 

deswegen gibts im Sicherheitsworkshop ja den Absatz "der Stellvertreter", wo man sich einen Useraccount ohne Adminrechte zum Surfen anlegt, da kann dann passieren was will, der Adminaccount bleibt davon unberührt.