PopUps und andere komische Dinge ...

hallo,

seit einiger zeit macht mein internet explorer 6.0 komische dinge. z.b. öffnen sich gelegentlich popups, in denen es immer um spyware etc. geht, zweitens werden irgendwelche jpg-bilder auf webseiten als werbung angezeigt und die links verweisen auf homepages, auf denen es auch nur um spyware und ähnliches geht. ebenso sind manchmal einfach irgenwelche wörter auf webseiten grün dick unterstrichen und mit ähnlichen webseiten verlinkt. (z.B.http://messagebroadcaster.net/bannerfarm/link/sw/sw.htm)

kann mir jemand helfen ?

mein system: winXP Pro, norton antivirus installiert, kerio firewall ...

vielen dank im vorraus,

greetz Jonathan

 

Ich schätze mal, es handelt sich um browserhijacking. Versuch mal nen früheren Systemwiederherstungspunkt, ansonnsten müsste warscheinlich das system neu aufgesetzt werden, warte aber mal lieber noch nen bisschen, vielleicht hat jemand noch einen besseren Tipp.

MFG Dominik

 

Neu aufsetzen ist zwar eine Lösung, du kannst aber auch mal folgendes probieren:

1.eScan runterladen:
(Datei dann entpacken in einen von dir erstellten ordner namens c:\bases)

2. escan updaten (kavupd.exe in dem Verzeichnis c:\bases ausführen)

3. Windows im abgeicherten Modus neu starten

4. Das Programm aus 1. ausführen (kvss.exe)
Dabei die Einstellungen vornehmen wie hier beschrieben

Anschließend HijackThis runterladen, Scanen, Logfile anfertigen (Save Log) und hier posten!

 

hi radja,
hab alles gemacht, wie du beschrieben hattest. eScan hat einiges gefunden, soll ich den LOG posten ?

hier in jedem falle mal die logdatei von hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {00A0A40C-F432-4C59-BA11-B25D142C7AB7} - C:\WINDOWS\System32\mskceo.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll
O2 - BHO: CDnsRepObj Object - {0BA1C6EB-D062-4E37-9DB5-B07743276324} - C:\WINDOWS\System32\msglji.gif
O2 - BHO: (no name) - {25F7FA20-3FC3-11D7-B487-00D05990014C} - C:\WINDOWS\System32\mseggo.gif
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: CUrlCliObj Object - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CC916B4B-BE44-4026-A19D-8C74BBD23361} - C:\WINDOWS\System32\msfaol.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\System32\msnkmi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PowerVRGameSettings] C:\WINDOWS\pmxreg.exe -regfile C:\WINDOWS\gamestng.reg
O4 - HKLM\..\Run: [PowerVRUninstall] C:\WINDOWS\pmxreg.exe -setupUninstall
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB239DD-4F9C-4F50-A033-E21BBC1D292B}: NameServer = 217.237.151.161 194.25.2.129
O18 - Filter: text/html - {CC905FF6-B553-496C-9DFA-CFF65ADCD0FC} - C:\WINDOWS\System32\msdhmd.dll


vielen dank weiterhin für jede hilfe !

 

@ DCM Beats

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://server224.smartbotpro.net/7search/?new-hkcu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://default-homepage-networ...i?new-hklm
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {00A0A40C-F432-4C59-BA11-B25D142C7AB7} - C:\WINDOWS\System32\mskceo.dll
O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll
O2 - BHO: CDnsRepObj Object - {0BA1C6EB-D062-4E37-9DB5-B07743276324} - C:\WINDOWS\System32\msglji.gif
O2 - BHO: (no name) - {25F7FA20-3FC3-11D7-B487-00D05990014C} - C:\WINDOWS\System32\mseggo.gif
O2 - BHO: CUrlCliObj Object - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll
O2 - BHO: (no name) - {CC916B4B-BE44-4026-A19D-8C74BBD23361} - C:\WINDOWS\System32\msfaol.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\System32\msnkmi.dll
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O18 - Filter: text/html - {CC905FF6-B553-496C-9DFA-CFF65ADCD0FC} - C:\WINDOWS\System32\msdhmd.dll

Anmelden im abgesicherten Modus und diese Dateien löschen:
C:\WINDOWS\System32\msdhmd.dll
C:\WINDOWS\bxxs5.dll
C:\WINDOWS\System32\msnkmi.dll
C:\WINDOWS\System32\mskceo.dll
C:\WINDOWS\System32\mskhhe.dll
C:\WINDOWS\System32\msglji.gif
C:\WINDOWS\System32\mseggo.gif
C:\WINDOWS\System32\msjfbl.dll
C:\WINDOWS\System32\msfaol.dll

- Temporäre Internet Files löschen
- mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) scannen
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- neues Log-File posten (aber diesmal das gesamte Log)

An diesen Eintrag kann ich erkennen, das du als Admin angemeldet bist. Aus Sicherheitsgründen solltest du zum surfen ein eingeschränktes Benutzerkonto benutzen.
Info unter Punkt 3.6: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

 

sorry, kapiers nicht ganz.

was heisst "einträge fixen" ?

 

Die erwähnten Geschichten in HJT mit Haken versehen und dann auf FIX drücken .
Zur erfolgreichen Reparatur mit HJT darf der IE nicht geöffnet bzw nur minimiert/im Hintergrund sein !!


http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

 

@ Cidre:

einträge fixen hat geklappt. von den genannten dateien dich ich löschen sollte, war nur die erste tatsächlich vorhanden, alle anderen nicht. somit hab ich nur die erste gelöscht.

alles andere hat geklappt, hier das neue log-file:

Logfile of HijackThis v1.98.0
Scan saved at 13:01:37, on 03.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PowerVRGameSettings] C:\WINDOWS\pmxreg.exe -regfile C:\WINDOWS\gamestng.reg
O4 - HKLM\..\Run: [PowerVRUninstall] C:\WINDOWS\pmxreg.exe -setupUninstall
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe

vielen dank weiterhin,

Grüsse Jonathan

 

Hallo DCM Beats

Du solltest dringend dein XP und den IE aktualisieren!!!

Bei dir steht:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Da sollte stehen:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Diesen Eintrag noch fixen:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Ansonsten sieht es sauber aus. :hoch:

Gruß
Nevok

 

yepp, die frage ist nur, welche updates ich nehmen soll. ich habe schon längst den überblick verloren bei den verschiedenen service packs und den vielen patches die microsoft anbietet.
hab auch schon gehört, dass microsoft die service packs wieder mal dazu nutzt den user auszuspionieren und das ist gar nicht gut ...

ich hab eigentlich das letzte halbe jahr problemlos mit diesem system arbeiten können und bin täglich 10-15 stunden online. und ich frage mich wodurch das jetzt passieren konnte, weil erstens norton antivirus und zweitens die kerio firewall ständig mitliefen.

 

@ DCM Beats

Da kann ich mich nur anschließen, wie ich es dir auch schon in meinen ersten Post mitgeteilt habe. Sonst dauert es nicht lange, bis du dir wieder was einfängst. Diesmal war es "nur ein Browser Hijacker", das nächste Mal könnte es schlimmer kommen.

Arbeite dich auch hier durch:
NT Dienste sicher konfigurieren

 

Norton AntiVirus und die Kerio Firewall schützen die nicht vor Adware und Browser-Hijackern. Daran hat es gelegen. Auch wenn du mit deiner jetzigen Systemkonfiguration gut gefahren bist, solltest du trotzdem dein System auf den neuesten Stand bringen. Dazu kannst du bei Microsoft erstmal das SP1 auf CD bestellen und zwar auf dieser Seite:

http://www.microsoft.com/germany/ms/windowscenter/downloads/servicepack/

Oder du downloadest es. Anschließend installierst du alle Sicherheitsupdates, die nach dem SP1 erschienen sind. Damit bist du dann erstmal auf dem neuesten Stand, sowohl bei XP als auch beim IE.

 

@ DCM Beats

Besuche diese Seite http://winfuture.de/news14725.html ,lade dir zuerst das Windows XP Service Pack 1 und danach das Windows XP Update Pack 1.7.
Danach zu http://v4.windowsupdate.microsoft.com/de/default.asp und die allerneuesten Sicherheits-Patches installieren.

Wie PFWs umgangen werden...
http://home.arcor.de/nhb/pf-umgehen.html
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
http://www.pcflank.com/art21.htm
http://www.computerbetrug.de/firewall/tunnel.php
...und die Verwundbarkeit eines Systems erhöhen können:
http://www.heise.de/newsticker/meldung/47316

Wie Virenscanner von Schadprogrammen umgangen werden:
http://members.lycos.co.uk/scheinsicherheit/
Eine kleine, aber feine Anekdote zum Thema Antiviren-Programme:
http://oschad.info/wiki/index.php/Virenscanner[