Programm ruft selbsttätig Internetseiten auf

Hallo,
ich versuche, mal kurz mein Problem zu schildern.

Bislang reichte meine Windows Firewall und Antivir classic aus.
Nun bin ich bei einer Googlesuche auf eine Seite gekommen, von der ein Programm geladen wurde und anschließend aufgeführt wurde. Unterbrechen konnte ich das nicht.

Seit dem werden beim Surfen Seiten ungefragt aufgerufen, von denen bspw. Drivecleaner oder WinantivirusPro heruntergeladen werden soll. Alles automatisch.

Nun habe ich zunächst einmal die Sunbelt Personal Firewall installiert und diverse Seiten gesperrt. Es kommen aber immer wieder Abwandlungen dieser Seiten durch. Echt nervig beim Surfen, da ich schnell zig-mal auf Abbrechen gehen muss.

Ergebnisse meiner Versuche:
Hijackthis ist ok.
Spybot ist ok.
AdAware ist ok.
Antivir ist ok.

Trotzdem versteckt sich irgendwo noch etwas, was vermutlich meinen InternetExplorer6 anweist, solche Seiten anzusteuern.

Wie bekomme ich das wieder los?

Nun hoffe ich, dass irgend jemand ahnt, wovon ich hier betroffen bin.

Schöne Grüße von Annette.

 

Hallo,
bitte Angaben machen zum installierten Betriebsystem inklusive Serviecepack. Angabe mit welchem Browser du diese Seiten über die du infiziert wurdest besucht hast (IE, Firefox, Opera .. mit Versionsangabe) ?. Bitte ein HiJackThis-Log als Anhang (Textdatei) hier posten.

 

Hallo Wolfgang77,

bei mir läuft XPhome mit SP2 und ständigen updates.
Ich nutze den IE6.

Hier das Logfile von Hijackthis:

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch weiterhin der Link zum ausgwerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

Schöne Grüße von Annette.

 

Hallo,
der IE 6.0 ist veraltet und sollte nicht mehr verwendet werden, unter XP SP2 ist der IE 7.0 aktuell. Bitte System in der Richtung auf den neusten Stand bringen oder Mozilla Firefox 2.0.0.3 bzw. Opera 9.21 verwenden.

Die Schädlinge haben sich als BHO in den IE eingenistet:

O2 - BHO: (no name) - {AD52D242-3ECB-4898-97D4-02F25057D4FF} - C:\WINDOWS\system32\pmnno.dll

O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\mljjijk.dll

O20 - Winlogon Notify: mljjijk - C:\WINDOWS\SYSTEM32\mljjijk.dll

O20 - Winlogon Notify: pmnno - C:\WINDOWS\system32\pmnno.dll

Die Sunbelt Personal Firewall (früher Kerio) bringt nichts an zusätzlicher Sicherheit, die kannst du wieder deinstallieren.

Die Einträge mit HiJackThis fixen, im abgesicherten Modus bei deaktivierter Systemwiederherstellung.

Info:
Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

 

Noch ein Hinweis:

Wenn ich die 4 Fragezeichen, die in der Auswertung stehen, fixe, erscheinen sie bei einem erneuten Scan wieder.

Ich bekam soeben die Meldung, dass Windows den virtuellen Arbeitsspeicher vergrößern muss. Es geht auch alles sehr langsam. Wenn ich CCleaner laufen lasse, geht es für ein paar Minuten wieder etwas schneller.

Schöne Grüße von Annette.

 

Als Erweiterung (Add-On) für den IE 7.0 rate ich dir noch zu diesem kleinen Programm:

http://www.pcwelt.de/forum/browser-...-die-beste-erweiterung-fuer-den-ie-7-0-a.html

Das bringt den IE vom Surf-Komfort auf eine Linie mit dem Mozilla Firefox.

Opera Download:
http://www.chip.de/downloads/c1_downloads_13000987.html

Firefox Download:
http://www.chip.de/downloads/c1_downloads_13012430.html

 

Deswegen solltest du die Anweisungen hier befolgen:

Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

 

http://www.spyany.com/program/article_adw_rm_WinFixer_2005.html

vielleicht hilft's ...

 

OK, meine Antwort hat sich mit deiner geschnitten.
Ich werde das jetzt mal vornehmen. Dauert etwas.

Schöne Grüße von Annette.

 

Hallo Wolfgang77,

wenn ich die 4 Zeilen im abgesicherten Modus fixe,
und danach nochmal mit hijackthis scanne, sind alle wieder da.

Grüße, Annette.

Systemwiederherstellung habe ich zuvor deaktiviert.

Edit: Ich vermute, jetzt hat es funktioniert. Ich habe hijackthis neu gestartet und einen Scan durchgeführt.
Jetzt sind die 4 Zeilen weg.
Ich starte nun das System ganz normal neu.

 

Der scheint ziemlich hartnäckig zu sein. Letztens geisterte sowas ähnliches durch ICQ: Da habe ich bei einem Bekannten 2 1/2 Stunden gebraucht, bis der weg war.

@annette65: In Anlehnung an die Anleitung von Scasi.

- Starte den PC im abgesicherten Modus
- Klicke auf Start - Ausführen - cmd eingeben - Enter
- Dann eingeben: cd "c:\Windows\system32"
- Dann regsvr32 /u mljjijk.dll
- Dann regsvr32 /u pmnno.dll
- Fenster mit Eingabe von exit schließen

- Wieder Start - Ausführen - regedit eingeben - Enter
- zu folgenden Schlüssel navigieren:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

- alles Löschen was auf die DLLs hinweist (oder die Einträge mal posten, falls Du Dir unsicher bist)
- Das gleiche nochmal hier:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

- Danach bei deaktivierter Systemwiederherstellung nochmals mit HijackThis fixen.
- Neustart und hoffen, dass die Dinger nun weg sind.

Edit: Scheint ja jetzt doch geklappt zu haben.

 

Dann sieht es nicht gut aus für dich. Führe die "datFind.bat" aus und poste den Inhalt der Textdateien die diese Batchdatei erstellt.

 

Ich habe hijackthis kopiert und umbenannt. Nun habe ich mit beiden Programmen den Scan durchgeführt. Ergebnis:
Beim Scan mit dem Umbenannten sind die Einträge noch da.
Beim Scan mit dem ursprünglichen Hijackthis sind die Einträge weg.

Hat das was zu bedeuten?

Grüße, Annette.

 

Mein PC fragt, mit welchem Programm er dies öffnen soll.
Es ist eine 1kB Datei.

 

Da hat sich eine Viren-Autor einige Mühe gegeben dir das Leben schwer zu machen. Sind die DLL-Dateien (mljjijk.dll .. usw.)
noch vorhanden ?. Möglich dass der Schädling aus mehr als den zwei Dateien besteht (deshalb die datFind.bat).. ich frage mich nur wie er sich dann startet wenn die Einträge gefixt sind. Fixe nochmal mit der umbenannten HiJackThis.exe. Zusätzlich die DLL-Dateien zur Bootzeit mit den MISC-Tools von HiJackThis löschen

 

Ja, die sind noch da.
Allerdings, siehe mal meinen Post mit dem Ergebnis der unterschiedlichen Scans. (Edit: Beitrag 13).

Was meinst du mit den dlls zur Bootzeit?

 

Das verstehe ich nicht, hast du das Archiv (*.zip) ausgepackt ?
Ergibt eine Datei "datFind.bat"

 

Ja, da entstand dann ein Ordner mit der Datei "datFind" darin.
Die Datei hat keine Endung und ist 1 kB groß.

 

Als ich sie eingepackt habe hatte sie eine Endung
Du musst dein Explorer richtig einstellen, quasi den "Profi-User-Modus" (Scherz am Rande). "Extras - Ordneroptionen - Ansicht - Erweiterungen bei bekannten Dateitypen ausblenden" .. dort muss der Haken weg.

 

Dort ist kein Haken dran.