Privacy Warning Detected (403 BHO Warning)

#1 Hat schon jemand Erfahrung mit dieser Meldung?
Hab in der Suchfunktion nichts gefunden und das Internet schweigt sich bis auf wenige Links auch aus. Bei den Links ist auch nichts bekannt, was es sein könnte. Vermutet wird, dass es über den Messenger Service verteilt wird. Der hat aber eigentlich keinen Zugriff nach draussen, da er im unten geschilderten Fall nicht genutzt wird.

Sie tauchte bei einem Bekannten nach dem Windows Update von letzter Woche auf. Er hat die Kerio 2.1.5 Firewall laufen und zum Windows Update muss der Generic Host Processor in der Kerio wieder aktiviert werden, damit es funktioniert. Nach dem Windows Update kann dieser wieder gesperrt werden.
Die Meldung war als Startseite eingerichtet und lies sich nicht mehr entfernen. Nach einem Neustart war sie wieder verschwunden. Allerdings ist dem Generic Host Processor der Zugriff nach draussen wieder gesperrt.

Der Rechner ist fürs Internet per Kerio geschlossen nur der IE ist für die Ports 80 und 443 geöffnet.

Die Meldung ist im Design der Microsoft Meldungen, allerdings ist sie nicht von Microsoft. PS: Die Meldung ist aus einem anderen Forum kopiert, da mir die Meldung meines Bekannten zu lang zum Abtippen ist, aber der Inhalt ist derselbe.

Zitat

817093-ms05-011 system warning: your internet activities are being recorded...

Your PC keeps records of all your online and off-line activity. Any websites you view, e-mails you send, and everything else you or someone else have ever done on your computer can be found.
You need special software to resolve this problem, click here now (Das ist ein Link)

. You can be tracked by IP adress, they know it: xxx.xx.xxx.xx
. Your ISP "club-internet" has handed over all the info, they know you are connected through Provider hier
. They know you are in Germany
. They know you are using Microsoft internet explorer
. They know your system is mozilla/4.0 (compatible;msie 6.0; Windows 98; win 9x 4.90; funwebproducts)
. They know your computer content, it's on the internet: click here to see your C: disk (Link)
.These words have been found in your system records:
bondage, upskirt, hardcore, private, cock, taboo, pervert, porn, bondage, porno, illegal, rape, bdsm, cock, pervert, incest, cocksucker, voyeur, porn, porn, pornstars, whore, nude, rape,...
. Your risk status for further investigation: very high risk
.Time of latest investigation: 1:40:00 p.m. on 29 april 2005

Die Links verweisen auf 205.177.122.27/securityAPI.dll?xR03

Das hijackthis file des "betroffenen" Rechners. Ich kann eigentlich nichts entdecken, was verdächtig wäre.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:00:06, on 14.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\WINDOWS\system32\wuauclt.exe
A:\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Irgendwie bin ich ehrlich gesagt, ein wenig ratlos.

#2 der log ist sehr ok
spybot und Ad-Aware finden auch nichts ?

hab noch in ausländischen foren ähnliche beiträge gefunden aber die waren auch nicht sehr aufschlussreich ausser das es wohl an dem update liegen muss

vielleicht probiert ihr es mal mit einer anderen firewall..ist dann zwar keine wirkliche lösung aber ein versuch ist es wert

http://board.protecus.de/board.php?boardid=6

mfg
__________
creatio ex nihilo vs. publico

#3 Nach dem die Firewall dem Generic Host Processor wieder den Zugriff nach draussen entzogen hatte, kommt keine Meldung mehr.

Manche in den ausländischen Beiträgen vermuteten auch einen Zusammenhang mit dem Messenger. Da er den Messenger nicht nutzt und der nur per Autoload von XP geladen wurde, hab ich ihm noch geraten den mit "StopMessenger" abzuschalten. Leider ist mein französisch und holländisch nicht wirklich gut, als dass ich die genauen Gründe/ Angaben verstanden hätte.

Er hat keine Probleme und keine Meldungen mehr. Sehr merkwürdig.

Edit:
Sehe gerade http://board.protecus.de/t17827.htm. Ist wohl dasselbe Problem. Kann ein Mod mal mergen?

Was mich aber zu der Frage veranlasst, wieso wurde bei meinem Bekannten keine Startpage etc. verändert? Hat die Beschränkung der Ports eventuell das verhindert?

#4 @Hatsu

kann sein... der log war ja ok, nichts zu sehen von svcnut32.exe ...aber ich hab mir nochmal die meldung und auf die der link mit der ip verweist genauer angesehn

205.177.122.27/securityAPI.dll?xR03
die ip gehört zu advancedhosters.com ( daher kommt auch die meldung ) und
securityAPI.dll wird soweit ich das jetzt verstanden habe zur überprüfung des benutzers verwendet....aber jeder kann die ip eines nutzers anzeigen lassen sobald er auf seine site geht das ist ziemlich billig...
vielleicht sollte er trotzdem C:\Programme\Messenger\msmsgs.exe aus dem systemstart nehemen und den prozess beenden
sobald ich ich noch was weiß poste ich
__________
creatio ex nihilo vs. publico