Pop-Ups beim Starten des Internet Explorers

Seit ich Kazaa habe, kommen beim Start des Internet Explorers immer mehrere Pop-Up-Werbungen. Da mich das ziemlich genervt hat, habe ich Kazaa deinstalliert , aber die Pop-Ups sind immer noch da. Auch AdAware habe ich durchlöaufen lassen - ohne Erfolg. Nun habe ich noch einen Pop-Up-Blocker installiert, der blockt aber nur Pop-Ups, die beim Öffnen von Webseiten entstehen, und nicht welche, die beim Öffnen des Internet Explorers sich öffnen. Bitte helft mir, wie ich diese Pop-Ups entfernen kann!
Vielen Dank im Voraus!

 

Leiche.

 

Spybot blockiert die von dir genannten übel nur. Es löscht sie nicht in dem Sinne .

Täusche ich mich da ?

 

Hallo,

du kannst dir von der Firma Sysinternals den Process Explorer beschaffen. Mit den Prozess "IEXPLORE.EXE" überwachen und auswerten auf welche Dateien (dll's, ocx, usw.) der zugreift. Auf diese Art kommst du an den Hijacker dran. Ist zeitaufwendig und erfordert Kenntisse der Dateien die zum Betriebssystem gehören sowie ein gutes "Gespür" für Übeltäter. Etwas einfacher ist es wenn man ein Vergleichssystem hat. Hier mal ein Ausschnitt (nicht vollständig) wie das aussieht..


Process: IEXPLORE.EXE Pid: 1636

Base Size MM Description Version Time Path
0x240000 0x16000 * 10.12.1999 10:00 C:\WINNT\system32\unicode.nls
0x260000 0x2F000 * 19.06.2003 11:05 C:\WINNT\system32\locale.nls
0x290000 0x41000 * 10.12.1999 10:00 C:\WINNT\system32\sortkey.nls
0x2E0000 0x4000 * 21.07.2000 11:05 C:\WINNT\system32\sorttbls.nls
0x300000 0x2000 * 10.12.1999 10:00 C:\WINNT\system32\ctype.nls
0x400000 0x19000 Internet Explorer 6.00.2800.1106 29.08.2002 08:32 C:\Programme\Internet Explorer\IEXPLORE.EXE
0x7A0000 0x84000 Common Controls Library 5.81.4916.0400 29.08.2002 08:32 C:\WINNT\system32\comctl32.dll
0xC40000 0x5000 * 22.08.2001 07:27 C:\WINNT\Registration\R0000000000da.clb
0xE70000 0x56C000 * 13.01.2004 03:14 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
0x13E0000 0xC000 * 13.01.2004 03:14 C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat
0x17C0000 0x22000 1.00.0001.0005 27.05.2003 02:27 C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
0x1820000 0xF000 * 1.00.0001.0005 27.05.2003 02:27 C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
0x1830000 0x4000 * 2.40.4522.0000 19.06.2003 11:05 C:\WINNT\system32\STDOLE2.TLB
0x28E0000 0x4000 * 22.08.2001 11:15 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
0x4EB0000 0x11000 * 10.12.1999 10:00 C:\WINNT\system32\c_28591.nls
0x62D0000 0x1D8000 * 13.01.2004 03:14 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat
0x6FF0000 0xC000 * 13.01.2004 01:19 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012004011320040114\index.dat
0x10000000 0x8000 AcroIEHelper Module 1.00.0000.0001 16.04.2001 15:39 E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
0x1A400000 0x7A000 OLE32-Erweiterung für Win32 6.00.2800.1282 17.10.2003 19:18 C:\WINNT\system32\URLMON.DLL
0x63580000 0x2B1000 Microsoft (R) HTML Viewer 6.00.2800.1276 16.10.2003 13:41 C:\WINNT\system32\MSHTML.DLL
0x665A0000 0x7000 Unimodem Tranform Module 5.00.2134.0001 10.12.1999 10:00 C:\WINNT\system32\umdmxfrm.dll
0x68010000 0x7000 Unimodem Serieller Wavetreiber 5.00.2134.0001 10.12.1999 10:00 C:\WINNT\system32\serwvdrv.dll
0x6B700000 0x90000 Microsoft (r) JScript 5.06.0000.8513 13.01.2003 14:57 C:\WINNT\system32\jscript.dll
0x70200000 0x96000 Interneterweiterungen für Win32 6.00.2800.1106 29.08.2002 08:32 C:\WINNT\system32\wininet.dll
0x703D0000 0x1B000 ActiveX Interface Marshaling Library 6.00.2800.1106 29.08.2002 08:32 C:\WINNT\system32\actxprxy.dll
0x70440000 0x8F000 Multi Language Support DLL 6.00.2800.1106 29.08.2002 08:32 C:\WINNT\system32\mlang.dll
0x70A70000 0x65000 Shell Light-weight Utility Library 6.00.2800.1276 16.10.2003 13:41 C:\WINNT\system32\SHLWAPI.DLL
0x70F30000 0x6E000 Microsoft (R) HTML Editing Component 6.00.2800.1106 29.08

 

Das ist doch schnurz.
Ich weiß, dass du daraus ableiten möchtest, ob das lokale oder im Internet nachgeladene Inhalte sind, aber letztlich ist das doch egal.

JEHOVA!!!!!!!
Wenn schon, dann nimmt man einen Sniffer wie Ethereal oder ein Programm wie ActivePorts.

 

Ad-Aware nochmals aktualisieren (10.1.2004) und durchlaufen lassen .

Falls der nichts findet dann die Onlinescanner versuchen die hier gelistet sind
http://forum.pcwelt.de/showthread.php?s=&threadid=107483

Was genau erscheint in den Pop-Ups ?
-> Immer die gleichen Einblendungen oder sind es verschiedene ?

Eventuell kann eine installierte Firewall oder ein anderes Programm herausfinden von welcher Datei diese Pops aufgerufen werden (nur so'n Gedanke)

 

Hallo nochmal:

Machen wir doch mal Kassensturz:

Einige Malware wurde entdeckt und entfernt. Dein IE poppte danach immer noch.

Steele hat einen ganzen Sack voll verdächtiger Dateien gefunden. Gut, daß sie jetzt weg sind, aber dein IE poppt immer noch.

Eine Überprüfung der verdächtigen Dateien per Online-Scanner brachte nichts.

Ich sag's nicht gerne, aber das sieht mir langsam nach Platte putzen und neu aufsetzen aus.

Jedenfalls würde ich es für mich nicht akzeptieren, daß da irgendwas auf meinen System wäre, von dem anscheinend keiner weiß, was es ist .

 

Hallo,

das Programm hat den Namen "Shredder" kann es das was es findet nicht vernichten ??. Hab das selbst noch nicht im Einsatz gehabt.

 

Danke für den Tipp! Der hat auch nicht mehr gefunden als die anderen.

 

Hallo,

habe nicht den ganzen Thread gelesen. Wenn du es noch nicht mit dem CWShredder versucht hast dann mach das noch. Hilft das auch nicht dann alles formatieren und Neuinstallation.

Download hier.. im unteren drittel der Website:
http://www.spywareinfo.com/~merijn/cwschronicles.html

oder direkt:
http://www.spywareinfo.com/~merijn/files/cwshredder.zip

Grüße
Wolfgang

 

Das ist er für mich auch. Diese Pop-Ups machen mich noch verrückt.

 

Tja...nur IRGENDWAS hast du dir ja ganz offensichtlich eingefangen und dieses Etwas wehrt sich recht hartnäckig dagegen, wieder entfernt zu werden. Dieser Zustand ist inakzeptabel. Zumindest für mich wäre es das.

 

Vielen Dank. Ich habe einen Virus-Scan gemacht. Ein Virus konnte nicht gefunden worden.

 

Mit Überprüfen meine ich zum Beispiel einen Online-Scan, denn deinem lokalen Virenscanner kannst du ja nicht mehr vertrauen.
Symbole und Dateinamen sind Schall und Rauch.
Wenn die Datei nicht größer als 1 MB ist, kannst du sie bei Kaspersky prüfen lassen:
http://www.kaspersky.com/de/remoteviruschk.html
Ansonsten muss ein Scan mit ActiveX-Unterstützung herhalten. Panda und Trendmicro haben sowas.

Es gibt noch weitere Einträge, die ich vorerst hintenan gestellt habe, da sie in Zusammenhang mit einer Tastatur bzw. einem Tablet-PC zu stehen scheinen. Sollte dies bei dir nicht der Fall sein, sind auch die fragwürdig.

 

Vielen, vielen dank! Was meinst du mit überprüfen? Das Symbol der rundll32.exe ist ein weißes Blatt mit einer umgeknickten Ecke oben links, alle anderen Systemdateien haben dieses Fenster-Symbol. Hat das was zu bedeuten?

 

C:\WINDOWS\System32\szcusw.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ecoverr.exe
C:\WINDOWS\System32\sratingm.exe
C:\WINDOWS\System32\bcachew.exe
C:\WINDOWS\System32\eakengi.exe
C:\WINDOWS\System32\tmsmgrn.exe
C:\WINDOWS\System32\ebclntw.exe
C:\WINDOWS\System32\astopenf.exe
C:\WINDOWS\System32\zmg.exe

Da ist ja schon wieder so ein Müll. Ich habe den Verdacht, dass eine Systemdatei ersetzt wurde. Mein Erstverdacht:

C:\WINDOWS\System32\RunDll32.exe

Überprüfe die mal.

O4 - HKLM\..\Run: [ecoverr] C:\WINDOWS\System32\ecoverr.exe
O4 - HKLM\..\Run: [sratingm] C:\WINDOWS\System32\sratingm.exe
O4 - HKLM\..\Run: [eakengi] C:\WINDOWS\System32\eakengi.exe
O4 - HKLM\..\Run: [bcachew] C:\WINDOWS\System32\bcachew.exe
O4 - HKLM\..\Run: [tmsmgrn] C:\WINDOWS\System32\tmsmgrn.exe
O4 - HKLM\..\Run: [astopenf] C:\WINDOWS\System32\astopenf.exe
O4 - HKLM\..\Run: [ebclntw] C:\WINDOWS\System32\ebclntw.exe
O4 - HKLM\..\Run: [zmg] C:\WINDOWS\System32\zmg.exe

Weg.

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

Sollte zwar ne Systemdatei sein, aber überprüf sie trotzdem.

Alles in allem sieht mir das gar nicht gut aus....

Sicher gibts die, massenhaft.
Schau dir die Dateinamen an. Man erkennt da einen gewissen Zufallserzeugungsmechanismus. Schon mal verdächtig. Keine Links in Google...ein weiteres Indiz, denn bekannte Dateien finden sich sehr schnell per Google, gerade auch wegen Anfragen verunsicherter User.
Listen:
http://www.reger24.de/processes.php
http://www.liutilities.com/products/wintaskspro/

 

Allerdings sind die Pop-Ups immer noch da.

 

@steele,
C:\WINDOWS\System32\szcusw.exe
C:\WINDOWS\System32\reduic.exe
C:\WINDOWS\System32\ourstartt.exe
C:\WINDOWS\System32\CDLIB32P.exe
C:\WINDOWS\System32\cbdyctlr.exe
C:\WINDOWS\System32\safdm.exe
C:\WINDOWS\System32\xpande.exe
C:\WINDOWS\System32\bdesk.exe
C:\WINDOWS\System32\sawtm.exe
C:\WINDOWS\System32\stscaxm.exe

Kamen mir auch alle verdächtig vor, weil ich sie noch niemals bei einem Scan gesehen habe, konnte auch bei Google keinen Link dazu finden. Kein Link, kein Beweis. Darum habe ich die Finger davon gelassen.
Gibt es dafür irgendwo eine Liste?

 

Danke! So sieht's jetzt aus:

Logfile of HijackThis v1.97.7
Scan saved at 16:08:29, on 11.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\szcusw.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ecoverr.exe
C:\WINDOWS\System32\sratingm.exe
C:\WINDOWS\System32\bcachew.exe
C:\WINDOWS\System32\eakengi.exe
C:\WINDOWS\System32\tmsmgrn.exe
C:\WINDOWS\System32\ebclntw.exe
C:\WINDOWS\System32\astopenf.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\zmg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Gerrit Koch\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elvisclub.de/forum
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ecoverr] C:\WINDOWS\System32\ecoverr.exe
O4 - HKLM\..\Run: [sratingm] C:\WINDOWS\System32\sratingm.exe
O4 - HKLM\..\Run: [eakengi] C:\WINDOWS\System32\eakengi.exe
O4 - HKLM\..\Run: [bcachew] C:\WINDOWS\System32\bcachew.exe
O4 - HKLM\..\Run: [tmsmgrn] C:\WINDOWS\System32\tmsmgrn.exe
O4 - HKLM\..\Run: [astopenf] C:\WINDOWS\System32\astopenf.exe
O4 - HKLM\..\Run: [ebclntw] C:\WINDOWS\System32\ebclntw.exe
O4 - HKLM\..\Run: [zmg] C:\WINDOWS\System32\zmg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Free History Cleaner (HKLM)
O9 - Extra 'Tools' menuitem: Free History Cleaner (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37884.393599537
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

 

Wenn du keinen MALWARE-Zoo eröffnen willst -
JA