Werbefenster öffnet sich ganzseitig wenn ich IE starte...

#0
30.05.2004, 11:42
...neu hier

Beiträge: 1
#1 Hallo zusammen,
ich bekomme sein einiger Zeit immer ein ganzseitiges Werbefenster geöffnet mit pornografischen Inhalten und zwar immer dann, wenn ich den IE öffne. Auf den Werbefenster selbst ist ein Link auf auf eine Seite, bei der ich ein uninstall-Programm runterladen soll... : http://www.spidersearch.com/support.php.
Aber ich vertraue dieser Sache nicht! Adaware hat nichts genützt, shredder auch nicht. Was soll ich nur tun, um diese Sache aus der Welt zu schaffen? Kann mir einer helfen; bin kein Fachmann.

Logfile of HijackThis v1.97.7
Scan saved at 11:43:35, on 30.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Lavasoft Ad-aware\Ad-watch.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Peter C\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {086CEFD5-A88D-4981-8915-D51F04360ED1} - C:\WINDOWS\System32\winalot32.dll
O2 - BHO: (no name) - {BD0BA5CD-7C8E-47ED-935E-1ABBAC9B29E0} - C:\DOKUME~1\ALLUSE~1\ANWEND~1\HSERVI~1\88313.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=060104 Ser*hier nicht!*=DR12CUG-0845314-BQD lang=DE
O4 - HKLM\..\Run: [fash] C:\WINDOWS\fash.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O9 - Extra button: concept/design's onlineTV (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/16bd62d8b5f1958d7514/netzip/RdxIE601_de.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} (iiittt Class) - ms-its:mhtml:file://C:\ss.MHT!http://www.traffichog.com/chm.chm::/files/initial.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.1761458333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C0F07A8-7C44-40AF-A0EE-A193A238A6B6}: NameServer = 217.237.149.161 194.25.2.129

Gruß und Dank
Peter 123
Seitenanfang Seitenende
30.05.2004, 15:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.Lade alle Tools von dieser Site

AdAware(free)...updaten !
Spybot
Cwshredder
Sphjfix.exe
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

2.Lade e-scann (mwav.exe)
http://www.mwti.net/antivirus/free_utilities.asp

2.1. ueberpruefe C:\WINDOWS\fash.exe
mit Kaspersky
http://www.kaspersky.com/de/remoteviruschk.html
-----------------------------------------------------------------------------------------------------
3.Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken)
mit dem HijackThis.
scann< dann hake an, was ich poste <fix

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {BD0BA5CD-7C8E-47ED-935E-1ABBAC9B29E0} - C:\DOKUME~1\ALLUSE~1\ANWEND~1\HSERVI~1\88313.dll
O2 - BHO: ohb - {086CEFD5-A88D-4981-8915-D51F04360ED1} - C:\WINDOWS\System32\winalot32.dll
O4 - HKLM\..\Run: [fash] C:\WINDOWS\fash.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/16bd62d8b5f1958d7514/netzip/RdxIE601_de.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} (iiittt Class) - ms-its:mhtml:file://C:\ss.MHT!http://www.traffichog.com/chm.chm::/files/initial.cab

4.Dann scanne mit dem
AdAware
Cwshredder
Sphjfix.exe
Spybot

5.und mit e-scann(mwav.exe)...loesche manuell, was angezeigt wird

---------------------------------------------------------------------------
falls die Tools das Problem nicht beheben:

6. Gehe in die Registry und loesche :
Start<Ausfuehren<regedit
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
-HKEY_CLASSES_ROOT\CLSID\ {086CEFD5-A88D-4981-8915-D51F04360ED1}]
-HKEY_CLASSES_ROOT\CLSID\{BD0BA5CD-7C8E-47ED-935E-1ABBAC9B29E0}]
-DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7}

schliesse die Registry

Die File 88313.dll und winalot32.dll finden (Suchfunktion von Windows)und
C:\ss.MHT/files/initial.cab
löschen.

neustart
-----------------------------------------------------------------------------------------------
7.Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.

8.Loesche unter InternetOptionen die TemporaryInternetFiles und stelle die Startseite neu ein.

Poste , das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.05.2004 um 15:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.06.2004, 19:44
...neu hier

Beiträge: 1
#3 Ja hallo, es ist zwar etwas unhöfflich das ich mich jetzt hier so reindränge, aber die oben beschriebenen Merkmale treffen bei mir auch zu. Nur das ich keine Link zu irgendeinem Entfernungsprogramm angezeigt bekomme.
Dafür meldet sich AntiVir jedesmal beim laden vom Explorer. Es werden immer zwei Viren im Temp Ordner gefunden.
Adaware, CWSShreder, Spybotsearch hab ich schon mal nach den Angaben der Seite von Rocky Security durchlaufen lassen (auch mal im abgesichterten Modus), die haben auch was gefunden, aber es hat nicht geholfen.

Ich hab da mal gemäß den Anweisungen im Forum das Logfile erstellt. Ich fänd's echt dufte wenn mir da mal einer weiterhelfen könnte. Denn ich hab da echt keinen Plan, oder anders gesagt, Computer und ich wir ignorieren uns die meiste Zeit, sie machen nicht was ich will und anders herum.
--------------------------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 11:18:52, on 01.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
E:\Internet\antivir\AVGUARD.EXE
E:\Internet\antivir\AVWUPSRV.EXE
D:\WINDOWS\System32\CTsvcCDA.exe
E:\deamontool\daemon.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\HP\HP Software Update\HPWuSchd.exe
D:\Programme\HP\hpcoretech\hpcmpmgr.exe
D:\WINDOWS\system32\wintime.exe
D:\WINDOWS\System32\svchosd.exe
E:\Internet\antivir\AVGNT.EXE
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\HP\hpcoretech\comp\hptskmgr.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\taskmgr.exe
D:\WINDOWS\explorer.exe
E:\Internet\Browser_Highjacker\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-chemnitz.de/misc/proxy.proxy
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1031
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\office\acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Internet\Browser_Highjacker\SpyBot-Search\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\deamontool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CTRegRun] D:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] D:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinHelp] D:\WINDOWS\System32\WinHelp.exe
O4 - HKLM\..\Run: [WinGate initialize] D:\WINDOWS\System32\WinGate.exe -remoteshell
O4 - HKLM\..\Run: [Remote Procedure Call Locator] RUNDLL32.EXE reg678.dll ondll_reg
O4 - HKLM\..\Run: [Program In Windows] D:\WINDOWS\System32\IEXPLORE.EXE
O4 - HKLM\..\Run: [HP Software Update] "D:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "D:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WinTime] D:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [Upgrade Service] D:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Internet\antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ist service uninstall] D:\WINDOWS\mstasks2.exe /u
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
------------------------------------------------------------------------
Also ich denke mal die Einträge mit der http://213.159.117.132/redir.php dürften auf alle Fälle raus, das ist nämlich die Sartseite, immer automatisch eingestellt, aber ich war mir da nicht sicher.
Naja ich hoffe mal ihr könnte mir weiterhelfen.
Seitenanfang Seitenende
01.06.2004, 19:55
Moderator

Beiträge: 7798
#4 Puh! Dein Rechner betaetigt sich als Virenschleuder. Du hast mehrere Moeglichkeiten.
Die erste und wohl beste ist, deinen Rechner neu aufzusetzen. Passwortwechsel ist immer angesagt, wenn der Rechner wieder sauber ist.

Wenn du das aus irgendwelchen Gruenden nicht machen willst.
Lade dir diesen Scanner und lasse ihn deinen Rechner im abgesicherten Modus testen: http://www.mwti.net/antivirus/free_utilities.asp Falls dein Norton auf den neusten Stand sein sollte, schmeiss in weg!

Danach lies dich auch hier durch: http://www.rokop-security.de/main/article.php?sid=703

Edit: Ich sehe gerade, das werden wohl nur noch reste von Norton sein?
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 01.06.2004 um 19:57 Uhr von raman editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: