ewige popups / 1 Minute Benutzereinstellungen laden

#1 Servus. Ich habe ein krasses Problem mit Popups. Ich habe die unter Hilfe stehenden Tipps alle befolgt, konnte jedoch mit der verfügbaren Software das Problem nicht beseitigen.
Sobald ich mich ins Netz einlog, erscheinen Popups beim drücken von Buttons oder beim eingeben von Internetadressen.
Folgende Seiten werden immerwieder aufgerufen:
http://clicks.emarketmakers.com/redir.aspx?id=177231
http://69.20.62.53/yyy6.html
auch zestyfind.com schreibt sich als Startseite des öfteren in die Registry.
desweiteren benötigt der rechner seit neuestem genau eine minute um die benutzereinstellungen beim hochfahren zu laden. viel zu lang, oder?

nun zu den programmen.
Ad-Aware:
"folgende reg-Einträge kann ich so oft ich will mit der Software löschen, sie tauchen immerwieder auf!"

Vendor Type Category Object Comment
RemanentBHO RegKey Malware HKEY_CLASSES_ROOT:AppID\BookedSpace.DLL\
RemanentBHO RegKey Malware HKEY_CLASSES_ROOT:BookedSpace.Extension\
VX2.BetterInternet RegValue Data Miner HKEY_LOCAL_MACHINE:SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ SimilarSingles
RemanentBHO RegKey Malware HKEY_LOCAL_MACHINE:SOFTWARE\BookedSpace\


hijack this:
Logfile of HijackThis v1.97.7
Scan saved at 15:51:15, on 21.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Oleco\_Oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stephan\Desktop\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [oo4] RunDLL32.EXE C:\WINDOWS\oo4.dll,DllRun
O4 - HKLM\..\Run: [Belt] C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Belt.exe
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\version.exe
O4 - HKLM\..\Run: [SQInstaller] C:\Dokumente und Einstellungen\Anne\igetnet_3845_3645.exeSQInstaller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 195.71.127.6 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 195.71.127.6 193.189.244.205

spybot und cws-shredder können nichts finden.

Wäre echt nett, wenn das einer von euch Profis mal durchcheckt und mir ein paar Tipps geben kann.


Liebe Grüße, Stephanius

#2 Ich gehe davon aus, das du Adarware und Spybot vorher aktualisiert hast!?

Fix das:

O4 - HKLM\..\Run: [oo4] RunDLL32.EXE C:\WINDOWS\oo4.dll,DllRun
O4 - HKLM\..\Run: [Belt] C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Belt.exe
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\version.exe
O4 - HKLM\..\Run: [SQInstaller] C:\Dokumente und Einstellungen\Anne\igetnet_3845_3645.exeSQInstaller.exe
O3 - Toolbar: (no name) - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - (no file)

und ich hoffe, das du Norton ghost nicht nur installiert hast, sondern auch regelmaessig nutzt!
__________
MfG Ralf
SEO-Spam Hunter

#3 Hi Stephanius

Fixe bitte dies hier
O3 - Toolbar: (no name) - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - (no file)
O4 - HKLM\..\Run: [oo4] RunDLL32.EXE C:\WINDOWS\oo4.dll,DllRun
O4 - HKLM\..\Run: [Belt] C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Belt.exe
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [SQInstaller] C:\Dokumente und Einstellungen\Anne\igetnet_3845_3645.exeSQInstaller.exe

Überprüfe bitte diese Datei erst mal bei
http://www.kaspersky.com/de/remoteviruschk.html
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\version.exe

Wenn Virus/Malware sind dann fixen

Das hier kann, muß aber nicht gefixt werden
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

Dann bitte Neustart
dann mal dies durchführen
http://board.protecus.de/t9373.htm

und nochmal Logfile posten,
falls noch was übrig ist

Grüße paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4 Vorsicht mit dem incd Eintrag! Nicht herausnehmen, wenn du incd nutzt, wenn du es nicht nutzt, INCD via Software deinstallieren. Meiner Meinung nach ist "incd" nur eine Systembremse und macht den Rechner auch nicht unbedingt stabiler.
__________
MfG Ralf
SEO-Spam Hunter

#5 Danke für die guten Tipps.
Das Servicepack-Update kann ich mit meinem Modem nicht durchführen, da es Stunden dauern würde.
Ich konnte mit Hilfe von Spybot einige Hijacker entfernen, jedoch öffnet sich Zestyfind.com immernoch als Popup beim eingeben einer Domain.
Es wird weder von Ad-Aware noch von Spybot erkannt.

Sobald ich mich ins Netz einwähle erscheinen in der Hijack-Logfile die Einträge unter 017! Ich könnte wetten das jene mein Problem auslösen. Aber wie kann ich das Ausführen dieser Einträge unterbinden?


Logfile of HijackThis v1.97.7
Scan saved at 17:08:59, on 10.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Oleco\_Oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stephan\Desktop\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 62.53.166.67 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 62.53.166.67 193.189.244.205


Nette Grüße

#6 Schau mal hier: http://sarc.com/avcenter/venc/data/adware.zestyfind.html

oder hier: http://www.spywareinfo.com/~merijn/files/kill2me.zip

oder suche mal nach einer msg(zahl).dll in deinem System32 Ordner. Adaware und Spybot waren up do date?
__________
MfG Ralf
SEO-Spam Hunter

#7

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 62.53.166.67 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 62.53.166.67 193.189.244.205

Das sind die bei deiner einwahl vom Provider zugewiesenen DNS-server.
Stellen kein Problem dar.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Guten Morgen!
Die Tipps sind gut, aber haben leider allesamt nichts geholfen.
Die Popups treten nun leider noch vermehrt auf.
1) Adawatch registriert folgendes:
VX2.BetterInternet File Data Miner c:\windows\system32\3sapi.cpy.dll
Possible Browser Hijack attempt RegData Data Miner

HKEY_USERS:.Default\Software\Microsoft\Internet Explorer\Main"Start Page" ("www.zestyfind.com/") Possible browser hijack attempt

VX2.BetterInternet RegKey Data Miner HKEY_LOCAL_MACHINE:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian\


was ist die 3sapi.cpy.dll ? die lässt sich auch von adawatch nach dem neustart nicht entfernen.

2)spybot fährt den rechner seit neuestem auf 100% und scannt damit nicht mehr.

3) den hijack-log erspar ich euch mal.

gruß

#9 Nutz mal cwshredder. http://www.spywareinfo.com/~merijn/files/CWShredder.exe
__________
MfG Ralf
SEO-Spam Hunter

#10 Hallo freunde,

Ich schreibe leider nicht so gut Deutch, und hoffe dabei dass es auch geht wenn ich english schreiben, so here we go

I have had the same problem lately, and also tried to eliminate it with the currently available S/W tools, only to find out that they could not identify and remove the problem.

Here is what I found out !

In my Windows/system directory there was 2 files which did not seem to belong there as follows:

dtndi.cpy.dll and
dtndi.dll

The first one ensures that the precesense of the second is maintained, so it is important to delete both, however the one in use cannot be deleted when the PC is operating in Windows, so you have to start your PC up in plain DOS mode and delete it from there.

However before you close the system down, you should run regedit and search for the precesense of "dtndi" (utilising the search function of regedit) and delete all entries referring to this file.

The files are seemingly distributed by a company that calls themselves "Nictech", which is some sort of advertising agency !?"#¤
In my opinion his company should have it's brains examined, what they do to peoples PC's aught to be illegal, and I can't realy see the point in anoying people in this way.

One of their advertisings (yyy6.html as far as I remember) is looking like it is some sort of "warning" related to your PC's memory and speed performance, don't ever react to or try to follow the steps in this so called "warning".

I am fairly sure that this company has other names for their malicious software, so if you cannot find the filenames mentioned above, try searching for the textstring "nictech" in all files within the windows/system directory and if you find any then treat them in the same way as I have just described.

You could also start your search by looking for *.cpy.dll or *.cpy.* only to narrow it down, I am fairly certain that they use this concept of having a .cpy file to reactiavte the S/W whenever someone manages to get rid of the running application, which by the way does not appear on any taskmonitoring systems ! (very slick and very devious) .

A very good tool to search within files is the "Total Commander" (previously called Windows Commander in earlier versions) it is a very easy and powerfull tool for handling files on your PC, much better than the standard Windows "pathfinder".

I hope this will help you out, in any case please report back here.

kind regards
IC_man

#11 Stephanius


Entfernen von Adware.ZestyFind

http://www.sarc.com/avcenter/venc/data/adware.zestyfind.html

--------------------------------------------------------------------------------------------------------------

-Die Wiederherstellung deaktivieren

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


-Start<Ausfuehren<regedit reinschreiben
Es oeffnet sich die Registry


folgendes loeschen ...immer auf der rechten Seite

# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Shell Extensions\Approved\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
# HKEY_CLASSES_ROOT\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
# HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

-umbenennen msg117.dll.
------------------------
1. Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the computer.
2. Press the F8 key while rebooting, then select "Safe mode command prompt only" in Windows 95/98/Me or "Safe Mode with Command Prompt" in Windows NT/2000/XP.
3. At the command prompt, type:

ren %system%\msg117.dll zesty.nav

4. Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the compute

http://www.sarc.com/avcenter/venc/data/adware.zestyfind.html

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit