FIREFOX öffnet sich mit unerwünschter Seite

  • Beim System-Start unter XP öffnet sich FIREFOX mit einer unerwünschten Seite.
    Ich erhalte die Seite http://www.heise.de/ct (manchmal auch 2 oder 3fach).
    Ich habe schon alles versucht, aber das Problem lässt sich einfach nicht beseitigen.

    Eine ausführliche Diskussion dazu finden Sie unter
    http://www.supportnet.de/threads/1377888
    In Antwort 60 habe ich dort folgendes geschrieben:

    (ZITAT-ANFANG:)
    Nach langer Suche habe ich das störende Programm entdeckt !
    Es lag an der Datei C:\Programme\Mozilla Firefox\defaults\pref\firefox.js
    Darin gibt es die folgende Programmzeile:
    pref("keyword.URL", "http://www.google.com/search?btnI=I%…F-8&oe=UTF-8&q=");
    FIREFOX sucht nach dieser Adresse und findet nur die leere GOOGLE-Suchmaske.
    Irgendwie ist das Script aber so aufgebaut, dass (meistens) weitergesucht wird.
    Dann sucht das Script den Buchstaben "c" und findet den GOOGLE-Eintrag:
    c´t - magazin für computertechnik http://www.heise.de/ct/ - 28k - 31. Juli 2006 ... usw...
    (Nach Deinstallation der Datei firefox.js liess sich FIREFOX nicht mehr starten.
    Nach FIREFOX-Neuinstallation ist das Script mit den selben Einstellungen wieder da. )
    (ZITAT-ENDE)

    Ich bin gespannt, ob mir in diesem Forum geholfen werden kann ![/url]

    wim47

  • So, hab den Thread mal quergelesen.

    Ich denke es ist ziemlich eindeutig das beim Starten von Windows eine Webseite aufgerufen werden soll, es öffnet sich der jeweilige Standardbrowser.
    Da die Webseite so wie angegeben (scheinbar) nicht existiert macht jeder Browser das daraus, was er soll: Fx nutzt die Google "gut glück" Einstellung, der IE macht halt was anderes.
    Die im Browser eingegebene Startseite ist ohne Bedeutung, da der Browser mit einer URL Angabe gestartet wird.

    Für dich bleibt herauszufinden welches Programm eine URL aufrufen will.

  • Auf jeden Fall wirst du am Fx herumschrauben können wie du willst, das wird nichts ändern.

    Wie wärs wenn du mal in deine Autostartliste schaust (per MSCONFIG) und nacheinander ein paar Einträge deaktivierst? Ich meiner halt erstmal die von Programmen die nicht wirklich nötig sind, irgedwelche Updatesachen oder Preloader, vieleicht findest du ja so schon was.

  • Das habe ich irgendwann schon mal versucht. Ich werde aber nochmal dort suchen, obwohl ich ein wenig Bedenken habe, dass dann irgendwelche anderen Einstellungen durcheinandergeraten.

    wim47

  • Was passiert denn, wenn du die Keyword-Funktion im Firefox ausschaltest? In der Adress-Zeile about:config eingeben, dort nach der Zeile keyword.enabled suchen und einen Doppelklick drauf machen, so das dann bei Wert "false" steht.

  • Zitat von Tuvok

    Was passiert denn, wenn du die Keyword-Funktion im Firefox ausschaltest? In der Adress-Zeile about:config eingeben, dort nach der Zeile keyword.enabled suchen und einen Doppelklick drauf machen, so das dann bei Wert "false" steht.

    Das wird alles nichts bringen, Änderungen im oder am Fx wirken ja erst wenn der Fx läuft.
    Gesucht wird ja die URSACHE warum Fx gestartet wird.

  • Zitat von Palli

    Gesucht wird ja die URSACHE warum Fx gestartet wird.

    Das ist mir schon klar. Ich hatte allerdings gehofft, daß Firefox nach dem abschalten der Keyword-Funktion nicht mehr mit der Heise-Seite startet sondern mit einer Fehlermeldung "Seite Cirgendwas nicht gefunden" und diese Fehlermeldung die Suche nach der Ursache erleichtert.

  • Zitat von wim47

    Also, es kommt nicht die HEISE-CT-Seite!
    Firefox sucht nach:
    http://www.c.com/Program/BackWeb-8876480.exe
    und meldet Server nicht gefunden.

    Das sieht - meiner Meinung nach - extrem böse aus! :shock:
    Ich würde das als einen Versuch ansehen, einen Trojaner nachzuladen.

    [edit] Google liefert:
    http://www.neuber.com/taskmanager/de…876480.exe.html
    http://www.winfuture-forum.de/lofiversion/index.php?t21897.html
    http://www.hijackfree.de/de/processdetails/?id=42

    Die Meinungen scheinen geteilt zu sein - soll mit einer Logitech Webcam zu tun haben. :?
    Hast Du kürzlich Logitech Hardware installiert?

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Ich habe eine LOGITECH-Webcam vor langer Zeit mal installiert und hatte auch mal eine kabellose LOGITECH-Mouse.

    Ich werde (heute nachmittag) beide Programme deinstallieren
    und melde mich dann wieder.

    wim47

  • Zitat

    Der Prozess mit der langen Zahl (nämlich die "backweb8876480.exe") wird bei der Installation einiger Produkte der Firma "Logitech" mit installiert. Das Programm sucht im Internet nach Updates für Treiber und Software der installierten Logitechkomponenten. Das gilt auch für die "4424.exe" und die "backWeb-7288971.exe"

    Quelle:
    http://www.frankn.com/html/backweb-8876480_exe.php

    Das sieht doch schon ganz gut aus.

    Habe was gefunden das bei einigen nach Entfernen das Programm versucht, sich selbstständig wieder herzustellen, was aber (wie bei dir) fehlschlägt.

    Angeblich lässt es sich mit HijackThis entfernen, aber da kenn ich mich nicht aus.

  • Ich habe mal weiter geforscht.
    Dieses Programm soll nach Updates für installierte Logitech-Produkte suchen.
    Wahrscheinlich wird es mit einer URL in der Form C:\Programme\BackWeb-8876480.exe gestartet.
    Der IE würde dann einfach dieses Programm ausführen und gut ist.
    Der Firefox kann mit so einer URL aber nichts anfangen, da er die URL in dieser Form bräuchte: file://C/Programme/BackWeb-8876480.exe.
    Vermutlich haben die Logitech'ler einfach mal wieder nur den IE berücksichtigt und rufen mit der IE-URL den Standardbrowser auf, der bei Dir wohl der Firefox ist.

    [edit] Durch das führende "C:" in der URL ist der Fx wohl verleitet worden, nach http://www.c.com zu suchen. :?

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Ich habe mal HijackThis laufen lassen und das Programm BackWeb-8876480.exe dort gefixed.
    Nach Neustart ist der Startfehler zunächst weg, beim NÄCHSTEN START jedoch dann wieder da !!!
    WAHNSINN !!!

    Eventuell muss ich jetzt doch die LOGITECH-Programme löschen und/oder die nachfolgenden von HijackThis gefundenenen Programme fixen oder ganz löschen.

    ------------------------------------------------------------------------------------------------------
    Automatische Auswertung des HijackThis Logfiles (AUSSCHNITT):
    (Quelle: http://www.hijackthis.de/de)
    ------------------------------------------------------------------------------------------------------

    O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
    Gut
    Logitech Desktop Messenger (BackWeb-Spyware)
    Trefferquote: 100,00 % (Resultate)
    Besucherbewertung: 4.67 (Sehr sicher)
    OBWOHL DIE MEISTEN DIESES PROGRAMM ALS GUT EINSTUFEN, BEWERTEN JEDOCH EINIGE BESUCHER DAS PROGRAMM ALS BÖSE.

    Weitere Ergebnisse:

    C:\Programme\Rocon Software\myDynIPPro\myDynIPPro.exe
    Mit einem Antivirenscanner prüfen.
    Unbekannt.
    Laufender Prozess. (myDynIPPro.exe)
    Es liegt noch keine Besucherbewertung vor!
    Dies ist ein unbekannter Prozess.

    C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE Mit einem Antivirenscanner prüfen. Gut
    Laufender Prozess. (LVCOMS.EXE)
    Besucherbewertung: 3.5 (Sicher)
    Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\common files\logitech\qcdriver3\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.

    O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab
    Eventuell Böse
    Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden.
    Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
    Es liegt noch keine Besucherbewertung vor!
    Prüfen ob Sie diese Seite kennen und ggf. fixen.

    O23 - Service: myDynIPPro - Rocon Software Ltd - C:\Programme\Rocon Software\myDynIPPro\myDynIPPro.exe
    Unbekannt
    Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste.
    Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
    Es liegt noch keine Besucherbewertung vor!
    Unbekannter Dienst. (myDynIPPro.exe)

    DIE ÜBRIGEN PROGRAMME WERDEN ALS GUT EINGESTUFT.

    wim47

  • Nachdem ich nun 4x neu gestartet habe, ohne dass sich die unerwünschte Startseite öffnet, ist mein Problem jetzt wohl gelöst.
    VIELEN DANK FÜR EURE HILFE !

    Ich habe sämtliche (zur Zeit nicht benötigten) LOGITECH-Programme gelöscht (desktop-manager, IM Video Companion, Image Studio und Print Service). Weiterhin habe ich das ROCON-Programm entfernt (hatte ich mal für einen Test geladen) und ausserdem das "clickteam"-Programm gefixed (war nicht löschbar).

    wim47