Ist da der Wurm drin?

Hallo!

ich habe einen Laptop mit WinXP/SP2, auf dem mein mann mit Vorliebe mit dem IE surft.

Nun habe ich festgestellt das man, wenn man den webbrowser IE startet und eine Suche mit Google macht, und dann eines der suchergebnisse anklickt, das man zu irgendeiner Seite geleitet wird, nur nicht die auf welche das Suchergebnis verweist. Wenn man dann zurück geht und nochmal denselben Link klickt kommt man zu der richtigen Seite.

Dann werden gelegentlichauch irgendwelche Popupfenter geöffnet.

Alles weist daruf hin das irgendetwas mit dem System nicht stimmt, weil es auch merklich langsamer wird und auch schon Mühe hat eine DVD wiederzugeben.

Bisher konnte ich allerdings nichts finden was diese misteriösen Vorgänge erklärt.

hat von euch jemand eine Idee und kann mir eventuell weiterhelfen?

 

Hallo,
erstelle mal ein HijackThis Log und poste den Link zur Auswertung wie hier beschrieben.
Außerdem untersuchst du mal dein system mit F-Secure Blacklight und postest auch dieses Log (wird automatisch nach dem scan im selben Pfad erstellt, fsbl**.txt).



Grüße Jasager

 

hier die beiden Logfiles:

hijackthis.txt
fsbl-20060503210448.txt

Fällt darin etwas besonderes auf?

 

Hallo,
überprüfe mal die Datei C:\WINDOWS\system32\webcieck.dll hier und poste das Ergebnis.

Lösche außerdem mal deine Temp Dateien mit cleanup! und poste die vier logfiles der Datfind.bat, aber nur die Dateien der letzten vier Wochen abkopieren.


Grüße Jasager

 

Hier das ergebnis des scans:

weitere logs folgen wenn cleanup durchgelaufen ist.

...

Hier nun ein Auszug aus den Logfiles von datfind: log.txt

...

Ich sehe mich schon neu installieren.

 

Hallo,
untersuche mal folgende Datei ebenfalls bei virustotal:

C:\Windows\System32\sporder.dll


C:\Windows\NDNuninstall7_22.exe
C:\Windows\NDNuninstall6_38.exe (die beiden kannst du direkt löschen)


Grüße Jasager

 

Also die sporder.dll war sauber.

Die anderen beíden sahen verdächtig nach adware aus und ich habe sie gelöscht.

Was passiert nun mit der:
C:\WINDOWS\system32\webcieck.dll

 

Hallo,
um die kümmern wir uns jetzt, wollte erstmal einen Gesammtüberblick haben weil das Problem recht neu ist.
Lösche mal die webcieck.dll mit killbox on reboot.

Außerdem fixt (Haken davor und auf "fix checked" du den betreffenden Hijackthis Eintrag:
O2 - BHO: (no name) - {92F3290A-B0FB-42B8-96A4-81B53C6AA74D} - C:\WINDOWS\system32\webcieck.dll


Berichte mal ob danach die Suchergebnisse immernoch umgeleitet werden.


Grüße Jasager

 

So weit ich bis jetzt festellen konnte werden die suchergebnisse nicht mehr umgeleitet.

Sollte ich noch was Gegenteiliges festellen melde ich mich nochmal in diesem Thread.

Wo fängt man sich denn so einen Dreck ein?
wahrscheinlich sollte ich das Mailtauschen und Surfbars mal sein lassen. :nixwissen

Ich danke dir ersteinmal dafür das du dir Zeit genommen und mir so super geholfen hast.

 

Hallo,

Schwer zu sagen, kann ich im speziellen nicht beantworten. Im allgemeinen fängt man sich etwas auf unseriösen Seiten(z.B. Crackseiten) ein, die ev. Browserlücken ausnutzen. Könnte aber auch sein, dass du ein Programm installiert hast, dass aus keiner seriösen quelle stammt.
Ich gebe dir mal einen Link wo du du dich allgemein sehr gut zum thema Computersicherheit informieren kannst (speziell hier).

Was ist Mailtauschen? Meinst du mit Surfbars ev. Toolbars?


Grüße Jasager

 

Dabei geht es um Promotion für Homepages. Bei Mailtauschern bekommt man emails zugesendet in denen es ein Link gibt der einen zu einer Homepage eines anderen mailtausch-Mitgliedes leitet. Für den Besuch bekommt man Punkte mit denen dann man seine eigene HP bewerben kann.
Surfbars, damit meine ich Auto-Surfbars bzw besuchertausch-Systeme. Man lässt im webbrowser eine Seite laufen in der immer wieder eine neue Seite gezeigt wird. Das läd automatisch neu. und für jeden aufruf kann man auch Besucher auf seine eigene HP bekommen.
In diesen Besuchertauschsytemen werden auch gerne mal "unseriöse" Seiten beworben.

Auf Hacker-Seiten treibe ich mich nicht rum. Ich weis zwar was das ist, aber so knapp sind meine finanziellen Mittel nicht das ich mir nicht mal Original-Software kaufen kann.

Vielen Dank für den Link. Das werde ich mir nochmal genauer zu gemüte führen.

 

Hallo,
klingt nach einer chronischen Gefahrenquelle beim surfen, aus Sicherheitsgründen solltest du beides unterlassen.
Wenn das, aus welchen Gründen auch immer, nicht so ohne weiteres möglich ist, solltest du ev. auch einen Browserwechsel in betracht ziehen (z.B. zu Firefox oder Opera). Falls du dich für FF entscheiden solltest, kannst du auch gleich die Extension Noscript verwenden, diese läßt Javascript nur auf ausgewählten Seiten zu, wodurch eine weitere Gefahrenquelle beseitigt wäre.
So jetzt werde ich aber mal an der Matratze lauschen.


Grüße Jasager

 

Noch mal ergänzend:

Ich persönlich nutze schon eine halbe Ewigkeit Firefox und Thunderbird. IE ist in der Mottenksite verschwunden.

Leider konnte ich nur meinen Mann noch nicht davon überzeugen auch auf Firefox umzusteigen, weil ihm das alles zu fremd ist. Der Mensch ist halt ein Gewohnheitstier.

Danke nochmal für deine Unterstützung Jasager.

 

Ihr solltet die ActiveX-Funktion deaktivieren!