 IE Favoriten K.O.! |
lumex 
Vollpfosten
Dabei seit: 01.12.2003
Beiträge: 98
Herkunft: Bremen Outback
 |
|
OS: Win XP Prof. SP 1, IE6 SP1
Eingerichtet als Standard Benutzer.
Erstmaliger Test-Einsatz von Secure Point PC Firewall 3.1
----------------------------------------------------------------------------
Es ist mir Folgendes passiert:
Nach dem Aufsuchen einer :vader Seite wurde mein Explorer so manipuliert, daß die Favoriten nicht mehr vorhanden sind.
Ich vermute, durch einen Script.
D. h. die Anzeige des Favoriten-Menüs erscheint als ein grauer Block ohne Inhalt. Es lassen sich auch keine mehr Importieren oder Exportieren.
Andere Benutzer oder Admin sind davon unberührt.
Im Dateiensystem ist der Ordner Favoriten samt Dateien weiterhin vorhanden.
SecurePoint meldete eine Veränderung im Zugriff auf ein anderes Modul
( *.dll Datei von Microsoft) und reagierte.
Nach der Deinstallation von SecruPoint blieb alles unverändert.
Mehrere Virus/Trojan Scanner ohne Befund.
Es stellt sich jetzt die Frage wie weit wurde etwas verändert, bzw.
wie bekommt man die Favoriten wieder angezeigt.
Entweder ist in der Registry oder im Benutzer-Verzeichnis etwas verändert worden. Vermute das Letztere. Konnte allerdings nichts Auffälliges finden.
Wäre dankbar für einen Hinweis und keine Belehrung.
|
|
17.01.2004 18:15 |
|
|
Kiesewetter
Premium Member
Dabei seit: 23.06.2003
Beiträge: 1.933
Herkunft: Regensburg
|
|
| Zitat: |
| Wäre dankbar für einen Hinweis und keine Belehrung |
|
was soll das denn ???
lies mal diesen Thread
, da war das Problem ähnlich
__________________
bis Bald,
Kiesewetter
|
|
|
17.01.2004 19:28 |
|
|
Trinity
Gold Member
Dabei seit: 07.09.2003
Beiträge: 1.550
Herkunft: Austria
|
|
@lumex
Die von dir erwähnte "Belehrung" bezog sich ganz klar auf unsere Forenregeln. Du beschreibst hier nochmal die gleiche Problematik wie in dem von mir geschlossenem Thread
, wo dein Problem nach aufsuchen einer serialz Seite entstanden ist.
Dein Darth Vader Symbolersatz hier in diesem Thread ändert nichts daran, also was soll das bitte?
Trinity
|
|
|
17.01.2004 19:33 |
|
|
lumex
Vollpfosten
Dabei seit: 01.12.2003
Beiträge: 98
Herkunft: Bremen Outback
Themenstarter 
|
|
| Favoriten komplett nicht vorhanden |
     |
@Kiesewetter
vielen Dank für den Hinweis. Leider bin ich damit nicht weitergekommen.
Habe den kompletten Registry Eintrag in:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
erneuert, Spybot durchlaufen lassen ohne Erfolg.
*.temp, Verlauf, cookies, Temp. Internet files etc. waren gelöscht.
IE-Settings auf Standard.
Die Änderung muß im Bereich des current users Pfad/Verzeichnis oder in der Registry liegen.
Habe zu dem besagten Zeitpunkt die hochgelobte Firewall Secure Point getestet. Und die kann man leider nur auf solchen sitez testen.
Mit ZoneAlarm Pro ist mir so etwas noch nicht passiert.
Ich glaube es wird einfacher sein den kompletten User herauszunehmen und einen neuen einzurichten.
Es ist nur unbefriedigend, die Ursache, bzw. den Verursacher nicht gefunden zu haben.
|
|
|
17.01.2004 23:38 |
|
|
Tux
Premium Member
Dabei seit: 04.09.2003
Beiträge: 2.940
Herkunft: Göttingen
|
|
seit wann braucht die bewußten Seiten, um eine Firewall zutesten?
schnapp dir den Sicherheits-Workshop
, ganz unten gibts die Möglichkeit zum Selbsttest.
Es wurd hier auch schon öfter erwähnt, daß man Adaware und Spybot einsetzen sollte, weil die sich sehr gut ergänzen.
Die Erfahrung hab ich auch gemacht 
e
__________________
MfG
Tux
Linux is like a wigwam. No windows, no gates and an apache inside!
|
|
|
18.01.2004 00:11 |
|
|
lumex
Vollpfosten
Dabei seit: 01.12.2003
Beiträge: 98
Herkunft: Bremen Outback
Themenstarter
|
|
| Negative script, activeX Elemente |
|
@Tux
Wie sol man sonst Script-Attacken testen?
Den Workshop kenne ich bereits.
Ich hatte Eingangs erwähnt, dass alle Scans, u. a. Adaware/Spybot
und diverse Virenscans zum Einsatz gekommen sind.
Es geht hier auch nicht darum Trojaner/Viren/Würmer/Spyware etc. aufzuspüren, sondern eine scriptbedingte Veränderung am IE des Current Users wiederherzustellen, bzw. deren Root zu finden.
Wenn man im I-Explorer vbscript, jscript und evtl. activeX
deaktiviert wird man nicht viel Freude am Surfen haben.
Oder man wird sich vor Eingabeaufforderungen nicht retten können.
Beim ZoneAlarm Pro :wand läßt sich das viel schneller mit Mobile Code Control (java-,vbscript, etc.) oder Web Filtering je nach Bedarf aktivieren oder deaktivieren.
|
|
|
18.01.2004 01:27 |
|
|
Wallace
Redakteur/Co-Administrator
Dabei seit: 21.08.2002
Beiträge: 5.128
Herkunft: Montreal
|
|
Hello
aus der Ferne wird es schwer bis unmöglich den genauen Vorgang zu verifizieren.
Das Einzige was mir spontan dazu enfällt, wäre die Reparatur des Benutzerprofils wie es hier
beschrieben wird.
Wallace
|
|
|
18.01.2004 02:19 |
|
|
lumex
Vollpfosten
Dabei seit: 01.12.2003
Beiträge: 98
Herkunft: Bremen Outback
Themenstarter
|
|
@Wallace
Danke Wallace,
ja, dass ist das was ich meinte mit neuen Benutzer einrichten.
Bei dem Hinweis von MS ist das mit "neues Profil anlegen" und altes löschen erklärt.
Geht ja auch schnell und die Inhalte kann man ja auch vom alten Profil übernehmen, Favoriten etc. Das klappt ja auch ohne Probleme.
Nur für die Ursachenforschung ist das aus technischer sicht höchst unbefriedigend. Denn die Verursacher haben gerade das mit ihrem Script beabsichtigt und schließlich auch erreicht.
Wenn die Firewall nicht zugemacht hätte, auch wenn verspätet, wäre sicherlich die Sache nicht so einfach gewesen.
Nicht auszudenken was dieser Augenblick im Admin-Profil ausgerichtet hätte :wiwo, wie es mein Sohn aus Trägheit ab und zu tut um seine teilweise dubiosen Game Sites im WWW :firedevil Dschungel aufzusuchen.
|
|
|
18.01.2004 13:26 |
|
|
Kiesewetter
Premium Member
Dabei seit: 23.06.2003
Beiträge: 1.933
Herkunft: Regensburg
|
|
deswegen gibts im Sicherheitsworkshop ja den Absatz "der Stellvertreter", wo man sich einen Useraccount ohne Adminrechte zum Surfen anlegt, da kann dann passieren was will, der Adminaccount bleibt davon unberührt.
__________________
bis Bald,
Kiesewetter
|
|
|
18.01.2004 14:45 |
|
|
|
