Hallo Leute!
Bei einen Bekannten öffnet sich neuerdings beim aufruf vom Internet Explorer neuerdings eine Startseite die einen bezug auf den Namen "Orgasmica" hat.
nund nun schildere ich euch folgenden Tatsachen:

1. diese site lässt sich nicht davon abringen als Startseite aufgerufen zu werden.

2.in der startleiste escheint ein rotes Rufzeichen das blinkt.

3.man kann diese "datei" micht löschen.

ich habe folgendens versucht und bin nun mit meinem Latein am Ende:

Wenn man das "Rufzeichen" im Kontextmenü aufruft gibt es die möglichkeit diese zu deinstallieren,doch nach erfolgter erfolgs meldung ist ds ganze wieder das. Ich habe diese Datei auf der Festplatte im "Temporären Internet Files" Ordner ausfindig gemacht.doch nach dem löschen ist sie nach einen Neustart wieder da.Ich habe versucht diese Datei aus der Eingabeaufforderung heraus zu löschen doch erfolglos. Ich habe alle Regisriereinträge und diese Datei die ausfindig gemacht werden konnten gelöscht doch das funkt auch nicht denn nach eine Neustart is diese Datei wieder da inkl. Regisriereinträge ! Es gibt keine Einträge in der Systemsteuerung /Software, noch lässt sich mit dem tool msconfig ein eintrag finden /config.sys ,autoexec.bat, system.ini, win.ini, autostart
es ist auch keine "versteckte Datei" mit einem ungewöhnlichen Namen zu finden es ist immer das selbe nach einen Neustart :
das programm ist wieder da! (Rufzeichen in der startleiste und als start seite im IE)

Wißt ihr vieleicht Rat ? das einzige was mir einfällt ist eine komplette neuinstallation des Systems.

gruß
peagsus

PS: kann es theoretisch und praktisch möglich sein das es sich in den MBR einträgt und deshalb immer wieder das ist?

mysteriös, mysteriös.....
Falls es wirklich mit dem mbr zu tun hat, würde aber wahrscheinlich ein fdisk/mbr helfen.
Versuch mal eine andere Methode um vielleicht eine Urheberdatei ausfindig zu machen: Verwende die Windows-Suchfunktion bei "Name" gibst du *.* ein und bei "Enthaltener Text" den Namen der komischen Datei!

starte mal deinen pc von einer diskette und versuche die datei dann zu löschen!

hast du schon mal einen aktuellen virenscanner drüberlaufen lassen?

gruss,
snowman

durch such mal die regestry nach dem eintrag "*orgasmica*.*" und lösch alles was du findest!

MfG,
ThomasK

@snowman mit einer startdisk hab ich das ganze nicht versucht, aber aus dem Dos-Modus heraus diese Datei zu löschen nützt nichts.
vienscanner haben bei ihm nichts gebracht (Mcaffee)

@ThomasK wenn du den beitrag richtig durchliest dann kommst du drauf das auch daas nichts nutzte !

@Expert@Work werde ihm von deinen Vorschlag berichten das kann allerdings einige zeit dauern

gruß
pegasus

dass es aus der eingabeforderung nicht funktionieren kann, ist leicht möglich, denn das ist das gleiche, als wie wenn du es im explorer zu löschen versuchst. also probiers mal über eine startdiskette, da muss es auf jedenfalls funktionieren. schau dir auch noch die eigenschaften der datei an (schreibgeschützt, versteckt usw.)

dachte mir eigentlich von deinem posting, dass du die registry schon durchsucht hast; probier daher auch auf jeden fall thomasK's vorschlag.

gruss,
snowman

nochmals zur allgemeinen hoffentlich besseren erklärung:

1. ich habe den computer mit der option im Dos-Modus starten gebootet (Taste F8). von dort aus wollte er die Datei löschen was voerst auch funkte. aber nach einen neustart war es wieder da.

2. ich habe alle registrierungsreinträge die zu finden waren gelöscht (regedit) und auch die datei nochmals. doch nach einen neustart war wieder alles da (auch registrierungsreinträge)!

3. es sind keine ungewöhnlichen dateien (auch versteckte) zu finden.

ich hab von sowas mal im fernsehen gesehen (ich glaub in n-tv) wenn man es erlaubte bestimmte programme auf den pc zu installieren, ging die einwahl immer über teure 0190 nummern (kennt doch jeder oder ;) ) das programm war sehr schwer zu entfernen.
ich würde die format c: empfehlen.

spunz

hi pegasus!
ein versuch, geh auf start.. ausführen und gib cleanmgr ein, dann markier "temp. internetdateien", dort bearbeiten.. alle markieren.. löschen, dann auf "übertragene programmdateien", wieder den selben vorgang, das ganze machst du aber ohne internet verbindung.
was passiert wenn keine verbindung steht und der IE geöffnet wird?
probier mal im IE die sicherheits einstellungen auf hoch.
geh in regedit auf suchen und gib Start Page ein, was erscheint dann?
gruss wibsi

nachtrag: es klingt vielleicht etwas banal, aber hast du schon versucht die startseite zu ändern?



[Dieser Beitrag wurde von wibsi am 01. September 2000 editiert.]

hey wibsi!! wo finde ich solche befehle?

spunz

hi spunz!
.. was meinst du mit solche befehle?
.. wenn du "cleanmgr" meinst. es ist die Datenträgerbereinigung.. unter zubehör..
gruss wibsi

[Dieser Beitrag wurde von wibsi am 01. September 2000 editiert.]

du postest öffters solche befehle wie die für systemdateiprüfung oder cleanmgr. würde mich interessieren wo ich eine übersicht drüber finde. in der win hilfe? ;)


spunz

hi spunz!
.. ganz einfach, rechte maustaste auf start.. öffnen.. dort such ich mir die programme, zb. zubehör, klick sie rechts an.. eigenschaften und schon weiss ich wie sie auf "englisch" heissen...
oder noch einfacher, start.. suchen.. *.exe.. dann wieder rechts.. eigenschaften, version und ich weiss wie sie auf "deutsch" heissen..
gruss wibsi

[Dieser Beitrag wurde von wibsi am 01. September 2000 editiert.]

hi wibsi!
guter tip, sollte im nächsten wcm stehen ;)

------------------
mfg karl s'glühlamperl
------------------

Hast Du bei den Extras, Internetoptionen die Startseite auf "leere Seite" gestellt ?

Regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Findest Du da was verdächtiges ?

Findest Du unter Start, Programme, Autostart was verdächtiges ?

Hi Lom !

Hast Du bei den Extras, Internetoptionen die Startseite auf "leere Seite" gestellt ?
__________________________________________
warum soll er im IE auf leere seite stellen?
___________________________________________
Regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Findest Du da was verdächtiges ?
____________________________________________
explecit auf diese adresse hat er sicher nicht geguckt,aber wie gasagt sind alle verdächtigen daten herausgelöscht worden.
_____________________________________________

Findest Du unter Start, Programme, Autostart was verdächtiges ?

_____________________________________________
der autostart ist leer
und mit msconfig ist nichts zu finden (punkto automatisacher start)
in den systemdateien (sysedit) ist auch nichts zu finden.
_____________________________________________

nähere informationen wie und vorallem ob ich es geschafft habe diese datei zu löschen kann ich euch voraussichtlich erst nächste woche geben da ich ihm erst dann treffe. ich werd euch jedenfalls auf den laufenden halten.

gruß
pegasus

Hallo pegasus!
Mein Tip ist nicht ganz ausgereift. Aber es könnte vielleicht doch sein das im Bios, und zwar in jenem Bereich "User Modified" etwas drin steht. Wie man so etwas machen kann steht in fast allen ASUS-Handbücher unter DMI Configuration Utility.

Ist halt nur eine vage Vermutung. Eventuell geht es auch mit einem neuen Bios-Flash weg. Dann brauchst dich nicht mit dem Utility auseinander zu setzen.

------------------
M.f.G. Karl

[Dieser Beitrag wurde von Karl am 03. September 2000 editiert.]

hi karl !
kannst du mir das näher erklären ich steh irgenwie auf der leitung und versteh nur bahnhof. was hat das mit dem bios zu tun ?
gilt das auch für nicht asus bretter?

pegasus

Hallo pegasus!
Genau kann ich dir das auch nicht erklären. Aber im Bios gibt es einen Bereich wo man Benutzerdaten hineinschreiben kann. Z.B. die Seriennummer von deinem Mainboard, Tower etc. Wenn du Sandra 2000 kennst so siehst du dort unter Systeminformation o.s.ä. auch diese Daten. Dort steht meistens nur 12345.. Und diese Daten kann ein Computererzeuger(oder auch du) mit diesem Utility ins Bios hineinschreiben wo sie von Sandra dann herausgelesen werden.

Beim Booten kann man das auch anzeigen lassen, glaube ich. Z.B. "COMPUTER DER FIRMA XY.." Es funkt auch bei anderen Mainboards als Asus. Es ist halt meine Vermutung das auf diesem Weg auch deine Datei zur Anzeige btw. erzeugt wird. Wie gesagt, ich habe damit keine Erfahrung, aber eventuell jemand aus dem Forum??

------------------
M.f.G. Karl

Hallo

Hast Du´s schon mal bei MCafee versucht?

Sieht nach einem Virus aus. Es gab da vor einiger Zeit einen, der Schrieb sich in das NV-Ram rein (da wo die Bad Sectors liegen)und legt ne Menge Bad Sectors an, indem er seine Routine ablegt.Hatte mal so einen Fall konnte nur mehr mit ´nem Bagger drüberfahren.

Gruss Helmut

Warum er die leere Seite eintragen soll ? Na weil Du folgendes geschrieben hast:
1. diese site lässt sich nicht davon abringen als Startseite aufgerufen zu werden.

Schreib doch einfach, was er als Startseite eingetragen hat.


[Dieser Beitrag wurde von The_Lord_of_Midnight am 04. September 2000 editiert.]

Hi Lom!

die standard startseite wäre normal von aon.
aber die,die jetzt immer automatisch aufgerufen wird ist eben irgendeine Sex seit (WAS SONST)

pegasus

Ich bin mir noch immer nicht sicher, ob ichs richtig verstanden habe.

Also unter Startseite beim Explorer steht der A-Online Url. Aber trotzdem kommt beim Start des Internet-Explorers immer diese ***censored***-Seite ?

Wenn das wirklich so ist, dann wirds schwierig.

<BLOCKQUOTE><font size="1" face="Verdana, Arial">quote:</font><HR>Original erstellt von The_Lord_of_Midnight:
Ich bin mir noch immer nicht sicher, ob ichs richtig verstanden habe.

Also unter Startseite beim Explorer steht der A-Online Url. Aber trotzdem kommt beim Start des Internet-Explorers immer diese ***censored***-Seite ?

Wenn das wirklich so ist, dann wirds schwierig.<HR></BLOCKQUOTE>

Du hast es falsch verstanden. früher war die Startseite von aon doch seit er diese datei hat ist's immer die sexseite egal was er macht.
aber momentan kann ich auch nichts näherse mehr sagen da ich schon eine weile nicht bei ihm war. ich werde mir selbst erst ein bild machen müssen bevor ich noch nähere angaben machen kann da ich die ganzen möglichen
anweisungen ihm per telefon durchgegeben habe genauso wie seine inormationen.
also wenn ich bei ihm war werde ich mich auf jeden fall mit einen posting melden wie und vorallem ob ich es geschafft habe dieser datei den garaus zu machen.

gruß
pegasus

hallo leute!

nachdem ich jetzt erst!!! bei ihm war kann ich euch auch berichten das ich es geschafft habe dieser datei den garaus zu machen!

also: zunächst lies ich windows mal nach dieser datei suchen,und siehe da es wurden 3 gefunden: eine im programme ordner eine im windows/system verzeichnis und eine im windos/temp internet verzeichnis. nachdem ich diese dateien löschte durchforstete ich die regestry in der ich ca. 15 einträge fand die den namen "orgasmica" enthielten und löschte diese. neustart und alles war wieder da! dann versuchte ich es so wie Expert@Work es vorgeschlagen hatte und suchte auch nach dateien die den namen "orgasmica" enthielten und wurde prompt fündig: zum einen in der user.dat zum anderen in der postausgangs.dbx von outlook express und zu guterletzt auch noch im temp-internet ordner in einen sonst nicht sichtbaren unterordner namens tighovz. zunächst löschte ich alle inhalte aus der postausgangs.dbx dann aus der user.dat und auch diesen ordner, doch leider vergaß ich dabei auf die regestry startete neu und alles war wieder da ! nach mehrmaligen vergeblichen versuchen löschte ich die postausgangs.dbx komplett vernichtete alle cookies mit einen kleien tool das mir authentic per mail schickte dann löschte ich alle eintrage in der user.dat inkl. der einträge die den namen des "tighovz" ordners hatten. dasselbe machte ich auch in der regestry. neustart und das ergebniss ? startseite im IE wieder von "orgasmica". noch ein versuch: ich rief das "blinkende" rufzeichen im kontext menü auf und deinstallierte es mit dem befehl uninstall orgasmica (ich vergass zu erwähnen das dies zuvor allein nichts brachte) dann machte ich mich wieder an die "user.dat" und fand darauf noch 4 weitere eintrage die ich möglicherweise zuvor übersah die postausgabgs.dbx war nicht mehr vorhanden dafür alles im temp internet verzeichns. auch das löschte ich und machte mich zum x-ten mal an die regestry dort waren auch wieder 3 eintrage zu finden die löschte ich sowie schon einige male zuvor, auch die dateien im programme ordner. neustart und? endlich!! die startseite war wieder die richtige von aon ! doch das rufzeichen war wieder da! wieder uninstall übers kontextmenü, nochmals 3 einträge aus der regestry gelöscht und diesmal exportierte ich die saubere regestry in eine sicherungsdatei. abermals neustart und fast alles war weg das einzige was ich wieder fand waren abermals die 3 verblieben einträge in der regestry da importierte ich jedoch dann die gesicherte regestry startete noch ein letztes mal neu und diesmal endllllliiiiiichhhh :) !!!! absulut alles weg !! für diesen mist brauchte ich glatt 1 1/2 stunden doch jetzt funkt wieder alles normal

danke für eure hilfe !!

gruß
pegasus

Das war ja eine Meisterleistung ! :eek: