Home » Spyware & Browser Hijacker Support Forum » Werbefenster öffnet sich ganzseitig wenn ich IE starte... » Themenansicht
Werbefenster öffnet sich ganzseitig wenn ich IE starte... |
||
|---|---|---|
| #0
| ||
|
30.05.2004, 11:42
...neu hier
Beiträge: 1 |
||
 
|
|
|
|
30.05.2004, 15:21
Ehrenmitglied
 Beiträge: 29434 |
#2
1.Lade alle Tools von dieser Site
AdAware(free)...updaten ! Spybot Cwshredder Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html 2.Lade e-scann (mwav.exe) http://www.mwti.net/antivirus/free_utilities.asp 2.1. ueberpruefe C:\WINDOWS\fash.exe mit Kaspersky http://www.kaspersky.com/de/remoteviruschk.html ----------------------------------------------------------------------------------------------------- 3.Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) mit dem HijackThis. scann< dann hake an, was ich poste <fix R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {BD0BA5CD-7C8E-47ED-935E-1ABBAC9B29E0} - C:\DOKUME~1\ALLUSE~1\ANWEND~1\HSERVI~1\88313.dll O2 - BHO: ohb - {086CEFD5-A88D-4981-8915-D51F04360ED1} - C:\WINDOWS\System32\winalot32.dll O4 - HKLM\..\Run: [fash] C:\WINDOWS\fash.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/16bd62d8b5f1958d7514/netzip/RdxIE601_de.cab O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} (iiittt Class) - ms-its:mhtml:file://C:\ss.MHT!http://www.traffichog.com/chm.chm::/files/initial.cab 4.Dann scanne mit dem AdAware Cwshredder Sphjfix.exe Spybot 5.und mit e-scann(mwav.exe)...loesche manuell, was angezeigt wird --------------------------------------------------------------------------- falls die Tools das Problem nicht beheben: 6. Gehe in die Registry und loesche : Start<Ausfuehren<regedit HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks {CFBFAE00-17A6-11D0-99CB-00C04FD64497} -HKEY_CLASSES_ROOT\CLSID\ {086CEFD5-A88D-4981-8915-D51F04360ED1}] -HKEY_CLASSES_ROOT\CLSID\{BD0BA5CD-7C8E-47ED-935E-1ABBAC9B29E0}] -DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} schliesse die Registry Die File 88313.dll und winalot32.dll finden (Suchfunktion von Windows)und C:\ss.MHT/files/initial.cab löschen. neustart ----------------------------------------------------------------------------------------------- 7.Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit. 8.Loesche unter InternetOptionen die TemporaryInternetFiles und stelle die Startseite neu ein. Poste , das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.05.2004 um 15:51 Uhr von Sabina editiert.
|
|
|
|
|
|
|
01.06.2004, 19:44
...neu hier
Beiträge: 1 |
#3
Ja hallo, es ist zwar etwas unhöfflich das ich mich jetzt hier so reindränge, aber die oben beschriebenen Merkmale treffen bei mir auch zu. Nur das ich keine Link zu irgendeinem Entfernungsprogramm angezeigt bekomme.
Dafür meldet sich AntiVir jedesmal beim laden vom Explorer. Es werden immer zwei Viren im Temp Ordner gefunden. Adaware, CWSShreder, Spybotsearch hab ich schon mal nach den Angaben der Seite von Rocky Security durchlaufen lassen (auch mal im abgesichterten Modus), die haben auch was gefunden, aber es hat nicht geholfen. Ich hab da mal gemäß den Anweisungen im Forum das Logfile erstellt. Ich fänd's echt dufte wenn mir da mal einer weiterhelfen könnte. Denn ich hab da echt keinen Plan, oder anders gesagt, Computer und ich wir ignorieren uns die meiste Zeit, sie machen nicht was ich will und anders herum. -------------------------------------------------------------------------- Logfile of HijackThis v1.97.7 Scan saved at 11:18:52, on 01.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe E:\Internet\antivir\AVGUARD.EXE E:\Internet\antivir\AVWUPSRV.EXE D:\WINDOWS\System32\CTsvcCDA.exe E:\deamontool\daemon.exe D:\Programme\ICQLite\ICQLite.exe D:\Programme\HP\HP Software Update\HPWuSchd.exe D:\Programme\HP\hpcoretech\hpcmpmgr.exe D:\WINDOWS\system32\wintime.exe D:\WINDOWS\System32\svchosd.exe E:\Internet\antivir\AVGNT.EXE D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe D:\Programme\HP\hpcoretech\comp\hptskmgr.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\MsPMSPSv.exe D:\Programme\Internet Explorer\IEXPLORE.EXE D:\WINDOWS\System32\taskmgr.exe D:\WINDOWS\explorer.exe E:\Internet\Browser_Highjacker\HiJackThis\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-chemnitz.de/misc/proxy.proxy R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1031 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\office\acrobat\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Internet\Browser_Highjacker\SpyBot-Search\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing) O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\deamontool\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [CTRegRun] D:\WINDOWS\CTRegRun.EXE O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] D:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinHelp] D:\WINDOWS\System32\WinHelp.exe O4 - HKLM\..\Run: [WinGate initialize] D:\WINDOWS\System32\WinGate.exe -remoteshell O4 - HKLM\..\Run: [Remote Procedure Call Locator] RUNDLL32.EXE reg678.dll ondll_reg O4 - HKLM\..\Run: [Program In Windows] D:\WINDOWS\System32\IEXPLORE.EXE O4 - HKLM\..\Run: [HP Software Update] "D:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "D:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [WinTime] D:\WINDOWS\system32\wintime.exe O4 - HKLM\..\Run: [Upgrade Service] D:\WINDOWS\winupd.exe O4 - HKLM\..\Run: [Aplune Service] svchosd.exe O4 - HKLM\..\Run: [AVGCtrl] E:\Internet\antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [ist service uninstall] D:\WINDOWS\mstasks2.exe /u O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab ------------------------------------------------------------------------ Also ich denke mal die Einträge mit der http://213.159.117.132/redir.php dürften auf alle Fälle raus, das ist nämlich die Sartseite, immer automatisch eingestellt, aber ich war mir da nicht sicher. Naja ich hoffe mal ihr könnte mir weiterhelfen. |
|
|
|
|
|
|
01.06.2004, 19:55
Moderator
Beiträge: 7805 |
#4
Puh! Dein Rechner betaetigt sich als Virenschleuder. Du hast mehrere Moeglichkeiten.
Die erste und wohl beste ist, deinen Rechner neu aufzusetzen. Passwortwechsel ist immer angesagt, wenn der Rechner wieder sauber ist. Wenn du das aus irgendwelchen Gruenden nicht machen willst. Lade dir diesen Scanner und lasse ihn deinen Rechner im abgesicherten Modus testen: http://www.mwti.net/antivirus/free_utilities.asp Falls dein Norton auf den neusten Stand sein sollte, schmeiss in weg! Danach lies dich auch hier durch: http://www.rokop-security.de/main/article.php?sid=703 Edit: Ich sehe gerade, das werden wohl nur noch reste von Norton sein? __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 01.06.2004 um 19:57 Uhr von raman editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bekomme sein einiger Zeit immer ein ganzseitiges Werbefenster geöffnet mit pornografischen Inhalten und zwar immer dann, wenn ich den IE öffne. Auf den Werbefenster selbst ist ein Link auf auf eine Seite, bei der ich ein uninstall-Programm runterladen soll... : http://www.spidersearch.com/support.php.
Aber ich vertraue dieser Sache nicht! Adaware hat nichts genützt, shredder auch nicht. Was soll ich nur tun, um diese Sache aus der Welt zu schaffen? Kann mir einer helfen; bin kein Fachmann.
Logfile of HijackThis v1.97.7
Scan saved at 11:43:35, on 30.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Lavasoft Ad-aware\Ad-watch.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Peter C\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {086CEFD5-A88D-4981-8915-D51F04360ED1} - C:\WINDOWS\System32\winalot32.dll
O2 - BHO: (no name) - {BD0BA5CD-7C8E-47ED-935E-1ABBAC9B29E0} - C:\DOKUME~1\ALLUSE~1\ANWEND~1\HSERVI~1\88313.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=060104 Ser*hier nicht!*=DR12CUG-0845314-BQD lang=DE
O4 - HKLM\..\Run: [fash] C:\WINDOWS\fash.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O9 - Extra button: concept/design's onlineTV (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/16bd62d8b5f1958d7514/netzip/RdxIE601_de.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} (iiittt Class) - ms-its:mhtml:file://C:\ss.MHT!http://www.traffichog.com/chm.chm::/files/initial.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.1761458333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C0F07A8-7C44-40AF-A0EE-A193A238A6B6}: NameServer = 217.237.149.161 194.25.2.129
Gruß und Dank
Peter 123