Pop-Ups beim Starten des Internet Explorers

Dieses Thema im Forum "Browser" wurde erstellt von bigbossman312, 11. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. bigbossman312

    bigbossman312 Byte

    Registriert seit:
    11. Januar 2004
    Beiträge:
    16
    Seit ich Kazaa habe, kommen beim Start des Internet Explorers immer mehrere Pop-Up-Werbungen. Da mich das ziemlich genervt hat, habe ich Kazaa deinstalliert , aber die Pop-Ups sind immer noch da. Auch AdAware habe ich durchlöaufen lassen - ohne Erfolg. Nun habe ich noch einen Pop-Up-Blocker installiert, der blockt aber nur Pop-Ups, die beim Öffnen von Webseiten entstehen, und nicht welche, die beim Öffnen des Internet Explorers sich öffnen. Bitte helft mir, wie ich diese Pop-Ups entfernen kann!
    Vielen Dank im Voraus!
     
  2. Gast

    Gast Guest

    Leiche.

    :rip:
     
  3. x2tri

    x2tri Byte

    Registriert seit:
    8. April 2004
    Beiträge:
    21
    Spybot blockiert die von dir genannten übel nur. Es löscht sie nicht in dem Sinne .

    Täusche ich mich da ?
     
  4. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    du kannst dir von der Firma Sysinternals den Process Explorer beschaffen. Mit den Prozess "IEXPLORE.EXE" überwachen und auswerten auf welche Dateien (dll's, ocx, usw.) der zugreift. Auf diese Art kommst du an den Hijacker dran. Ist zeitaufwendig und erfordert Kenntisse der Dateien die zum Betriebssystem gehören sowie ein gutes "Gespür" für Übeltäter. Etwas einfacher ist es wenn man ein Vergleichssystem hat. Hier mal ein Ausschnitt (nicht vollständig) wie das aussieht..


    Process: IEXPLORE.EXE Pid: 1636

    Base Size MM Description Version Time Path
    0x240000 0x16000 * 10.12.1999 10:00 C:\WINNT\system32\unicode.nls
    0x260000 0x2F000 * 19.06.2003 11:05 C:\WINNT\system32\locale.nls
    0x290000 0x41000 * 10.12.1999 10:00 C:\WINNT\system32\sortkey.nls
    0x2E0000 0x4000 * 21.07.2000 11:05 C:\WINNT\system32\sorttbls.nls
    0x300000 0x2000 * 10.12.1999 10:00 C:\WINNT\system32\ctype.nls
    0x400000 0x19000 Internet Explorer 6.00.2800.1106 29.08.2002 08:32 C:\Programme\Internet Explorer\IEXPLORE.EXE
    0x7A0000 0x84000 Common Controls Library 5.81.4916.0400 29.08.2002 08:32 C:\WINNT\system32\comctl32.dll
    0xC40000 0x5000 * 22.08.2001 07:27 C:\WINNT\Registration\R0000000000da.clb
    0xE70000 0x56C000 * 13.01.2004 03:14 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
    0x13E0000 0xC000 * 13.01.2004 03:14 C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat
    0x17C0000 0x22000 1.00.0001.0005 27.05.2003 02:27 C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
    0x1820000 0xF000 * 1.00.0001.0005 27.05.2003 02:27 C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
    0x1830000 0x4000 * 2.40.4522.0000 19.06.2003 11:05 C:\WINNT\system32\STDOLE2.TLB
    0x28E0000 0x4000 * 22.08.2001 11:15 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
    0x4EB0000 0x11000 * 10.12.1999 10:00 C:\WINNT\system32\c_28591.nls
    0x62D0000 0x1D8000 * 13.01.2004 03:14 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat
    0x6FF0000 0xC000 * 13.01.2004 01:19 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012004011320040114\index.dat
    0x10000000 0x8000 AcroIEHelper Module 1.00.0000.0001 16.04.2001 15:39 E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    0x1A400000 0x7A000 OLE32-Erweiterung für Win32 6.00.2800.1282 17.10.2003 19:18 C:\WINNT\system32\URLMON.DLL
    0x63580000 0x2B1000 Microsoft (R) HTML Viewer 6.00.2800.1276 16.10.2003 13:41 C:\WINNT\system32\MSHTML.DLL
    0x665A0000 0x7000 Unimodem Tranform Module 5.00.2134.0001 10.12.1999 10:00 C:\WINNT\system32\umdmxfrm.dll
    0x68010000 0x7000 Unimodem Serieller Wavetreiber 5.00.2134.0001 10.12.1999 10:00 C:\WINNT\system32\serwvdrv.dll
    0x6B700000 0x90000 Microsoft (r) JScript 5.06.0000.8513 13.01.2003 14:57 C:\WINNT\system32\jscript.dll
    0x70200000 0x96000 Interneterweiterungen für Win32 6.00.2800.1106 29.08.2002 08:32 C:\WINNT\system32\wininet.dll
    0x703D0000 0x1B000 ActiveX Interface Marshaling Library 6.00.2800.1106 29.08.2002 08:32 C:\WINNT\system32\actxprxy.dll
    0x70440000 0x8F000 Multi Language Support DLL 6.00.2800.1106 29.08.2002 08:32 C:\WINNT\system32\mlang.dll
    0x70A70000 0x65000 Shell Light-weight Utility Library 6.00.2800.1276 16.10.2003 13:41 C:\WINNT\system32\SHLWAPI.DLL
    0x70F30000 0x6E000 Microsoft (R) HTML Editing Component 6.00.2800.1106 29.08
     
  5. Gast

    Gast Guest

    Das ist doch schnurz.
    Ich weiß, dass du daraus ableiten möchtest, ob das lokale oder im Internet nachgeladene Inhalte sind, aber letztlich ist das doch egal.
    JEHOVA!!!!!!!
    Wenn schon, dann nimmt man einen Sniffer wie Ethereal oder ein Programm wie ActivePorts.
     
  6. Denniss

    Denniss Megabyte

    Registriert seit:
    23. Juli 2000
    Beiträge:
    1.289
    Ad-Aware nochmals aktualisieren (10.1.2004) und durchlaufen lassen .

    Falls der nichts findet dann die Onlinescanner versuchen die hier gelistet sind
    http://forum.pcwelt.de/showthread.php?s=&threadid=107483

    Was genau erscheint in den Pop-Ups ?
    -> Immer die gleichen Einblendungen oder sind es verschiedene ?

    Eventuell kann eine installierte Firewall oder ein anderes Programm herausfinden von welcher Datei diese Pops aufgerufen werden (nur so'n Gedanke)
     
  7. Gast

    Gast Guest

    Hallo nochmal:

    Machen wir doch mal Kassensturz:

    Einige Malware wurde entdeckt und entfernt. Dein IE poppte danach immer noch.

    Steele hat einen ganzen Sack voll verdächtiger Dateien gefunden. Gut, daß sie jetzt weg sind, aber dein IE poppt immer noch.

    Eine Überprüfung der verdächtigen Dateien per Online-Scanner brachte nichts.

    Ich sag's nicht gerne, aber das sieht mir langsam nach Platte putzen und neu aufsetzen aus. :heul:

    Jedenfalls würde ich es für mich nicht akzeptieren, daß da irgendwas auf meinen System wäre, von dem anscheinend keiner weiß, was es ist .
     
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    das Programm hat den Namen "Shredder" kann es das was es findet nicht vernichten ??. Hab das selbst noch nicht im Einsatz gehabt.
     
  9. bigbossman312

    bigbossman312 Byte

    Registriert seit:
    11. Januar 2004
    Beiträge:
    16
    Danke für den Tipp! Der hat auch nicht mehr gefunden als die anderen.:(
     
  10. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  11. bigbossman312

    bigbossman312 Byte

    Registriert seit:
    11. Januar 2004
    Beiträge:
    16
    Das ist er für mich auch.:mad: Diese Pop-Ups machen mich noch verrückt.:aua:
     
  12. Gast

    Gast Guest

    Tja...nur IRGENDWAS hast du dir ja ganz offensichtlich eingefangen und dieses Etwas wehrt sich recht hartnäckig dagegen, wieder entfernt zu werden. Dieser Zustand ist inakzeptabel. Zumindest für mich wäre es das.
     
  13. bigbossman312

    bigbossman312 Byte

    Registriert seit:
    11. Januar 2004
    Beiträge:
    16
    Vielen Dank. Ich habe einen Virus-Scan gemacht. Ein Virus konnte nicht gefunden worden.
     
  14. Gast

    Gast Guest

    Mit Überprüfen meine ich zum Beispiel einen Online-Scan, denn deinem lokalen Virenscanner kannst du ja nicht mehr vertrauen.
    Symbole und Dateinamen sind Schall und Rauch.
    Wenn die Datei nicht größer als 1 MB ist, kannst du sie bei Kaspersky prüfen lassen:
    http://www.kaspersky.com/de/remoteviruschk.html
    Ansonsten muss ein Scan mit ActiveX-Unterstützung herhalten. Panda und Trendmicro haben sowas.

    Es gibt noch weitere Einträge, die ich vorerst hintenan gestellt habe, da sie in Zusammenhang mit einer Tastatur bzw. einem Tablet-PC zu stehen scheinen. Sollte dies bei dir nicht der Fall sein, sind auch die fragwürdig.
     
  15. bigbossman312

    bigbossman312 Byte

    Registriert seit:
    11. Januar 2004
    Beiträge:
    16
    Vielen, vielen dank! Was meinst du mit überprüfen? Das Symbol der rundll32.exe ist ein weißes Blatt mit einer umgeknickten Ecke oben links, alle anderen Systemdateien haben dieses Fenster-Symbol. Hat das was zu bedeuten?
     
  16. Gast

    Gast Guest

    C:\WINDOWS\System32\szcusw.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\DitExp.exe
    C:\WINDOWS\System32\ecoverr.exe
    C:\WINDOWS\System32\sratingm.exe
    C:\WINDOWS\System32\bcachew.exe
    C:\WINDOWS\System32\eakengi.exe
    C:\WINDOWS\System32\tmsmgrn.exe
    C:\WINDOWS\System32\ebclntw.exe
    C:\WINDOWS\System32\astopenf.exe
    C:\WINDOWS\System32\zmg.exe

    Da ist ja schon wieder so ein Müll. Ich habe den Verdacht, dass eine Systemdatei ersetzt wurde. Mein Erstverdacht:

    C:\WINDOWS\System32\RunDll32.exe

    Überprüfe die mal.

    O4 - HKLM\..\Run: [ecoverr] C:\WINDOWS\System32\ecoverr.exe
    O4 - HKLM\..\Run: [sratingm] C:\WINDOWS\System32\sratingm.exe
    O4 - HKLM\..\Run: [eakengi] C:\WINDOWS\System32\eakengi.exe
    O4 - HKLM\..\Run: [bcachew] C:\WINDOWS\System32\bcachew.exe
    O4 - HKLM\..\Run: [tmsmgrn] C:\WINDOWS\System32\tmsmgrn.exe
    O4 - HKLM\..\Run: [astopenf] C:\WINDOWS\System32\astopenf.exe
    O4 - HKLM\..\Run: [ebclntw] C:\WINDOWS\System32\ebclntw.exe
    O4 - HKLM\..\Run: [zmg] C:\WINDOWS\System32\zmg.exe

    Weg.

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

    Sollte zwar ne Systemdatei sein, aber überprüf sie trotzdem.

    Alles in allem sieht mir das gar nicht gut aus....

    Sicher gibts die, massenhaft.
    Schau dir die Dateinamen an. Man erkennt da einen gewissen Zufallserzeugungsmechanismus. Schon mal verdächtig. Keine Links in Google...ein weiteres Indiz, denn bekannte Dateien finden sich sehr schnell per Google, gerade auch wegen Anfragen verunsicherter User.
    Listen:
    http://www.reger24.de/processes.php
    http://www.liutilities.com/products/wintaskspro/
     
  17. bigbossman312

    bigbossman312 Byte

    Registriert seit:
    11. Januar 2004
    Beiträge:
    16
    Allerdings sind die Pop-Ups immer noch da.
     
  18. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    @steele,
    C:\WINDOWS\System32\szcusw.exe
    C:\WINDOWS\System32\reduic.exe
    C:\WINDOWS\System32\ourstartt.exe
    C:\WINDOWS\System32\CDLIB32P.exe
    C:\WINDOWS\System32\cbdyctlr.exe
    C:\WINDOWS\System32\safdm.exe
    C:\WINDOWS\System32\xpande.exe
    C:\WINDOWS\System32\bdesk.exe
    C:\WINDOWS\System32\sawtm.exe
    C:\WINDOWS\System32\stscaxm.exe

    Kamen mir auch alle verdächtig vor, weil ich sie noch niemals bei einem Scan gesehen habe, konnte auch bei Google keinen Link dazu finden. Kein Link, kein Beweis. Darum habe ich die Finger davon gelassen.
    Gibt es dafür irgendwo eine Liste?
     
  19. bigbossman312

    bigbossman312 Byte

    Registriert seit:
    11. Januar 2004
    Beiträge:
    16
    Danke! So sieht's jetzt aus:

    Logfile of HijackThis v1.97.7
    Scan saved at 16:08:29, on 11.01.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\CA\eTrust Antivirus\InoRT.exe
    C:\Programme\CA\eTrust Antivirus\InoTask.exe
    C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\Dit.exe
    C:\WINDOWS\mHotkey.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\PRISMSTA.EXE
    C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\WINDOWS\System32\szcusw.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\DitExp.exe
    C:\WINDOWS\System32\ecoverr.exe
    C:\WINDOWS\System32\sratingm.exe
    C:\WINDOWS\System32\bcachew.exe
    C:\WINDOWS\System32\eakengi.exe
    C:\WINDOWS\System32\tmsmgrn.exe
    C:\WINDOWS\System32\ebclntw.exe
    C:\WINDOWS\System32\astopenf.exe
    C:\WINDOWS\CNYHKey.exe
    C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    C:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    C:\WINDOWS\System32\zmg.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Gerrit Koch\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
    C:\Programme\Internet Explorer\iexplore.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elvisclub.de/forum
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [ecoverr] C:\WINDOWS\System32\ecoverr.exe
    O4 - HKLM\..\Run: [sratingm] C:\WINDOWS\System32\sratingm.exe
    O4 - HKLM\..\Run: [eakengi] C:\WINDOWS\System32\eakengi.exe
    O4 - HKLM\..\Run: [bcachew] C:\WINDOWS\System32\bcachew.exe
    O4 - HKLM\..\Run: [tmsmgrn] C:\WINDOWS\System32\tmsmgrn.exe
    O4 - HKLM\..\Run: [astopenf] C:\WINDOWS\System32\astopenf.exe
    O4 - HKLM\..\Run: [ebclntw] C:\WINDOWS\System32\ebclntw.exe
    O4 - HKLM\..\Run: [zmg] C:\WINDOWS\System32\zmg.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
    O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: Free History Cleaner (HKLM)
    O9 - Extra 'Tools' menuitem: Free History Cleaner (HKLM)
    O9 - Extra button: MedionShop (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
    O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37884.393599537
    O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
     
  20. Gast

    Gast Guest

    Wenn du keinen MALWARE-Zoo eröffnen willst -
    JA
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen