PopUps und andere komische Dinge ...

Dieses Thema im Forum "Sicherheit" wurde erstellt von DCM Beats, 2. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. DCM Beats

    DCM Beats Byte

    Registriert seit:
    23. Dezember 2003
    Beiträge:
    113
    hallo,

    seit einiger zeit macht mein internet explorer 6.0 komische dinge. z.b. öffnen sich gelegentlich popups, in denen es immer um spyware etc. geht, zweitens werden irgendwelche jpg-bilder auf webseiten als werbung angezeigt und die links verweisen auf homepages, auf denen es auch nur um spyware und ähnliches geht. ebenso sind manchmal einfach irgenwelche wörter auf webseiten grün dick unterstrichen und mit ähnlichen webseiten verlinkt. (z.B.http://messagebroadcaster.net/bannerfarm/link/sw/sw.htm)

    kann mir jemand helfen ?

    mein system: winXP Pro, norton antivirus installiert, kerio firewall ...

    vielen dank im vorraus,

    greetz Jonathan
     
  2. Fragyman

    Fragyman Byte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    37
    Ich schätze mal, es handelt sich um browserhijacking. Versuch mal nen früheren Systemwiederherstungspunkt, ansonnsten müsste warscheinlich das system neu aufgesetzt werden, warte aber mal lieber noch nen bisschen, vielleicht hat jemand noch einen besseren Tipp.

    MFG Dominik
     
  3. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44
    Neu aufsetzen ist zwar eine Lösung, du kannst aber auch mal folgendes probieren:

    1.eScan runterladen:
    (Datei dann entpacken in einen von dir erstellten ordner namens c:\bases)

    2. escan updaten (kavupd.exe in dem Verzeichnis c:\bases ausführen)

    3. Windows im abgeicherten Modus neu starten

    4. Das Programm aus 1. ausführen (kvss.exe)
    Dabei die Einstellungen vornehmen wie hier beschrieben

    Anschließend HijackThis runterladen, Scanen, Logfile anfertigen (Save Log) und hier posten!
     
  4. DCM Beats

    DCM Beats Byte

    Registriert seit:
    23. Dezember 2003
    Beiträge:
    113
    hi radja,
    hab alles gemacht, wie du beschrieben hattest. eScan hat einiges gefunden, soll ich den LOG posten ?

    hier in jedem falle mal die logdatei von hijackthis:

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Norton AntiVirus\SAVScan.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Programme\Norton AntiVirus\OPScan.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\WinZip\winzip32.exe
    C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
    O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
    O2 - BHO: (no name) - {00A0A40C-F432-4C59-BA11-B25D142C7AB7} - C:\WINDOWS\System32\mskceo.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll
    O2 - BHO: CDnsRepObj Object - {0BA1C6EB-D062-4E37-9DB5-B07743276324} - C:\WINDOWS\System32\msglji.gif
    O2 - BHO: (no name) - {25F7FA20-3FC3-11D7-B487-00D05990014C} - C:\WINDOWS\System32\mseggo.gif
    O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
    O2 - BHO: CUrlCliObj Object - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {CC916B4B-BE44-4026-A19D-8C74BBD23361} - C:\WINDOWS\System32\msfaol.dll
    O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\System32\msnkmi.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [PowerVRGameSettings] C:\WINDOWS\pmxreg.exe -regfile C:\WINDOWS\gamestng.reg
    O4 - HKLM\..\Run: [PowerVRUninstall] C:\WINDOWS\pmxreg.exe -setupUninstall
    O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
    O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
    O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB239DD-4F9C-4F50-A033-E21BBC1D292B}: NameServer = 217.237.151.161 194.25.2.129
    O18 - Filter: text/html - {CC905FF6-B553-496C-9DFA-CFF65ADCD0FC} - C:\WINDOWS\System32\msdhmd.dll


    vielen dank weiterhin für jede hilfe !
     
  5. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ DCM Beats

    Diese Einträge fixen:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://server224.smartbotpro.net/7search/?new-hkcu
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://server224.smartbotpro.net/7search/?new-hklm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://default-homepage-networ...i?new-hklm
    O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
    O2 - BHO: (no name) - {00A0A40C-F432-4C59-BA11-B25D142C7AB7} - C:\WINDOWS\System32\mskceo.dll
    O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll
    O2 - BHO: CDnsRepObj Object - {0BA1C6EB-D062-4E37-9DB5-B07743276324} - C:\WINDOWS\System32\msglji.gif
    O2 - BHO: (no name) - {25F7FA20-3FC3-11D7-B487-00D05990014C} - C:\WINDOWS\System32\mseggo.gif
    O2 - BHO: CUrlCliObj Object - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll
    O2 - BHO: (no name) - {CC916B4B-BE44-4026-A19D-8C74BBD23361} - C:\WINDOWS\System32\msfaol.dll
    O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\System32\msnkmi.dll
    O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
    O18 - Filter: text/html - {CC905FF6-B553-496C-9DFA-CFF65ADCD0FC} - C:\WINDOWS\System32\msdhmd.dll

    Anmelden im abgesicherten Modus und diese Dateien löschen:
    C:\WINDOWS\System32\msdhmd.dll
    C:\WINDOWS\bxxs5.dll
    C:\WINDOWS\System32\msnkmi.dll
    C:\WINDOWS\System32\mskceo.dll
    C:\WINDOWS\System32\mskhhe.dll
    C:\WINDOWS\System32\msglji.gif
    C:\WINDOWS\System32\mseggo.gif
    C:\WINDOWS\System32\msjfbl.dll
    C:\WINDOWS\System32\msfaol.dll

    - Temporäre Internet Files löschen
    - mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) scannen
    - Neustart
    - dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    - neues Log-File posten (aber diesmal das gesamte Log)

    An diesen Eintrag kann ich erkennen, das du als Admin angemeldet bist. Aus Sicherheitsgründen solltest du zum surfen ein eingeschränktes Benutzerkonto benutzen.
    Info unter Punkt 3.6: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
     
  6. DCM Beats

    DCM Beats Byte

    Registriert seit:
    23. Dezember 2003
    Beiträge:
    113
    sorry, kapiers nicht ganz.

    was heisst "einträge fixen" ?
     
  7. Denniss

    Denniss Megabyte

    Registriert seit:
    23. Juli 2000
    Beiträge:
    1.289
  8. DCM Beats

    DCM Beats Byte

    Registriert seit:
    23. Dezember 2003
    Beiträge:
    113
    @ Cidre:

    einträge fixen hat geklappt. von den genannten dateien dich ich löschen sollte, war nur die erste tatsächlich vorhanden, alle anderen nicht. somit hab ich nur die erste gelöscht.

    alles andere hat geklappt, hier das neue log-file:

    Logfile of HijackThis v1.98.0
    Scan saved at 13:01:37, on 03.07.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\PROGRA~1\WinZip\winzip32.exe
    C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [PowerVRGameSettings] C:\WINDOWS\pmxreg.exe -regfile C:\WINDOWS\gamestng.reg
    O4 - HKLM\..\Run: [PowerVRUninstall] C:\WINDOWS\pmxreg.exe -setupUninstall
    O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
    O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe

    vielen dank weiterhin,

    Grüsse Jonathan
     
  9. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo DCM Beats

    Du solltest dringend dein XP und den IE aktualisieren!!!

    Bei dir steht:

    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Da sollte stehen:

    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Diesen Eintrag noch fixen:

    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

    Ansonsten sieht es sauber aus. :hoch:

    Gruß
    Nevok
     
  10. DCM Beats

    DCM Beats Byte

    Registriert seit:
    23. Dezember 2003
    Beiträge:
    113
    yepp, die frage ist nur, welche updates ich nehmen soll. ich habe schon längst den überblick verloren bei den verschiedenen service packs und den vielen patches die microsoft anbietet.
    hab auch schon gehört, dass microsoft die service packs wieder mal dazu nutzt den user auszuspionieren und das ist gar nicht gut ...

    ich hab eigentlich das letzte halbe jahr problemlos mit diesem system arbeiten können und bin täglich 10-15 stunden online. und ich frage mich wodurch das jetzt passieren konnte, weil erstens norton antivirus und zweitens die kerio firewall ständig mitliefen.
     
  11. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ DCM Beats

    Da kann ich mich nur anschließen, wie ich es dir auch schon in meinen ersten Post mitgeteilt habe. Sonst dauert es nicht lange, bis du dir wieder was einfängst. Diesmal war es "nur ein Browser Hijacker", das nächste Mal könnte es schlimmer kommen.

    Arbeite dich auch hier durch:
    NT Dienste sicher konfigurieren


     
  12. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Norton AntiVirus und die Kerio Firewall schützen die nicht vor Adware und Browser-Hijackern. Daran hat es gelegen. Auch wenn du mit deiner jetzigen Systemkonfiguration gut gefahren bist, solltest du trotzdem dein System auf den neuesten Stand bringen. Dazu kannst du bei Microsoft erstmal das SP1 auf CD bestellen und zwar auf dieser Seite:

    http://www.microsoft.com/germany/ms/windowscenter/downloads/servicepack/

    Oder du downloadest es. Anschließend installierst du alle Sicherheitsupdates, die nach dem SP1 erschienen sind. Damit bist du dann erstmal auf dem neuesten Stand, sowohl bei XP als auch beim IE.
     
  13. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ DCM Beats

    Besuche diese Seite http://winfuture.de/news14725.html ,lade dir zuerst das Windows XP Service Pack 1 und danach das Windows XP Update Pack 1.7.
    Danach zu http://v4.windowsupdate.microsoft.com/de/default.asp und die allerneuesten Sicherheits-Patches installieren.

    Wie PFWs umgangen werden...
    http://home.arcor.de/nhb/pf-umgehen.html
    http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
    http://www.pcflank.com/art21.htm
    http://www.computerbetrug.de/firewall/tunnel.php
    ...und die Verwundbarkeit eines Systems erhöhen können:
    http://www.heise.de/newsticker/meldung/47316

    Wie Virenscanner von Schadprogrammen umgangen werden:
    http://members.lycos.co.uk/scheinsicherheit/
    Eine kleine, aber feine Anekdote zum Thema Antiviren-Programme:
    http://oschad.info/wiki/index.php/Virenscanner[
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen