immer wiederkehrendes PopUp, das den IE blockiert

#1 Hi,

habe folgendes Prob:

Nach dem ordentlichen Start des IE, kommt immer ein bestimmtes PopUp hoch, das offenbar irgendein WebSearch ist.

Zuerst habe ich alle Coookies, Dateien (auch offline) und Verläufe gelöscht.

Mit AdAware drübergenudelt gibts folgende Meldung:

Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP

hab´s in Quarantäne geschickt und sogar in der Reg den Eintrag gelöscht.

dann mit Spybot drüber, der mittlerweile keine Spione mehr meldet.

Das Hijack-Log ist wie folgt:

Logfile of HijackThis v1.97.7
Scan saved at 11:28:59, on 02.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINNT\system32\crypserv.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\nvsvc32.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\ZONELABS\vsmon.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\Explorer.EXE
E:\WINNT\system32\RunDll32.exe
E:\Programme\Browser mouse\1.3\mouse32a.exe
E:\Programme\FreePDF\FreePDFA.exe
E:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINNT\system32\internat.exe
E:\PROGRA~1\WinEject\wineject.exe
E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\Multimedia keyboard utility\1.3\KBDAP32A.EXE
E:\Programme\Emerald PopStop\ETIPopStop.exe
E:\WINNT\system32\wuauclt.exe
E:\PROGRA~1\INTERN~1\iexplore.exe
E:\WINNT\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - E:\PROGRA~1\GOZILLA\GoIEHlp.dll
O2 - BHO: (no name) - {E880D22F-18B2-4873-A573-A3F65A1B5094} - E:\WINNT\system32\gdomc.dll
O2 - BHO: (no name) - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - E:\WINNT\system32\mshelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMK08KB] E:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] E:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FreePDFAssistent] E:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] E:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "E:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Ad-aware] "E:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [YAW starten] "E:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [WinEjectAutoStart1] E:\PROGRA~1\WinEject\wineject.exe -instance:1
O4 - HKCU\..\Run: [AccountLogon] E:\Programme\AccountLogon\AccountLogon.exe
O4 - Startup: Emerald PopStop.lnk = E:\Programme\Emerald PopStop\ETIPopStop.exe
O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Multimedia Keyboard 1.3.lnk = E:\Programme\Multimedia keyboard utility\1.3\KBDAP32A.EXE
O9 - Extra button: AccountLogon (HKCU)
O9 - Extra 'Tools' menuitem: AccountLogon (HKCU)
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38021.2716087963
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D644CB3-E667-4212-A1EA-7772863DBC69}: NameServer = 213.168.112.60 194.8.194.60


komisch scheinen mir die R1 mit (obfuscated) und auch blank.html und die O2 mit ...gdomc.dll zu sein.

Ein Fixing hat bisher aber nicht geholfen, da müsste also noch irgendwo was drinstecken.
Danke vorab schonmal für Eure Hilfe


Gruss
CGNDude

#2 Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {E880D22F-18B2-4873-A573-A3F65A1B5094} - E:\WINNT\system32\gdomc.dll
O2 - BHO: (no name) - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - E:\WINNT\system32\mshelper.dll
O4 - HKLM\..\Run: [sys] regedit -s sys.reg


Teste diese Datei mal Online: (http://www.kaspersky.com/scanforvirus)
internat.exe

MFG
DAFRA

#3 ey geil, ey ;-)

Prob scheint gelöst :-)))))

muchas smuchos ,

CGNDude