[Spyware] Nichtgewollte Internetseiten

P

Pharao

kennt sich schon aus
Nichtgewollte Internetseiten

hallo Leute,
ich habe seit kurzem ein Problem und weiß nicht so recht weiter. Wenn ich mich ins Internet einwähle und die Startseite aufrufe öffnet er diese auch, aber nicht nur diese auch noch zwei bis drei andere mit Werbung für irgendwelchen PC Programmen oder Internet Casinos. Das nervt.
Habe mich auf die Lauer gelegt um diesen Seiten den Gar auszumachen, leider ohne Erfolg. Temp Dateien gelöscht, Cockies gelöscht, mein Rechner durchsucht, alles Fehlanzeige. Gehe ich ins Net bekomme ich wieder diese Seite. Nerv.
Freue mich über jede Hilfe.
Vielen Dank
Pit
 
AW: Nichtgewollte Internetseiten

Die Seiten neben der Startseite dürften PopUps sein.
Einfach einen Browser mit PopUp-Blocker verwenden. Dann ist das Problem gegessen.
 
AW: Nichtgewollte Internetseiten

habe es mit LavaSoft Ad-Aware und Spybot Search & Destroy versucht leider Fehlanzeige. Vielleicht schaut sich mal jemand das hier an:


Logfile of HijackThis v1.99.0
Scan saved at 08:38:04, on 21.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
c:\windows\system32\sejuyu.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\temp\salm.exe
C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~2.DLL
O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\owysomsa.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nse7E.dll
O2 - BHO: XBTB06353 - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\PROGRA~1\KIDDAT~1\kidda.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - C:\Programme\Kidda Toolbar\kidda.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [RDLL] RunDll16.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Arcor\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Admilli Service] C:\Program Files\Admilli Service\AdmilliServ.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [lanbrup] C:\WINDOWS\system32\lanbrup.exe
O4 - HKLM\..\Run: [xqj] C:\WINDOWS\xqj.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
O4 - HKLM\..\Run: [WinUpdate] C:\cmon.exe
O4 - HKLM\..\Run: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
O4 - HKLM\..\Run: [Internet Download Manager 4.03] C:\My Downloads\Internet Download Manager 4.03.exe
O4 - HKLM\..\Run: [iMesh] C:\My Downloads\iMesh.exe
O4 - HKLM\..\Run: [ofzqvp] c:\windows\system32\sejuyu.exe r
O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_03\bin\npjpi141_03.dll
O9 - Extra button: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - C:\Programme\Kidda Toolbar\kidda.dll
O9 - Extra 'Tools' menuitem: Kidda Toolbar - {5124376D-C964-4817-B40E-CBD36195116E} - C:\Programme\Kidda Toolbar\kidda.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .bcf: C:\Programme\Internet Explorer\Plugins\NPBelv32.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/bridge-c11.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dbf0dc380af770d706/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1102183601875
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDA28269-29DB-4845-8BAB-6C083F3E2067}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Startup Service - Unknown - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Vielen Dank
Pit
Edited by arcanoa: Illegale Programminstallationen
 
Zuletzt bearbeitet von einem Moderator:
AW: Nichtgewollte Internetseiten

Werte einmal deinen Logfile bei Hijackthis aus. Du hast einige Teile drauf, sind ein wenig zu viel, um am Sonntagmorgen drauf einzugehen.
Von Hijackthis kannst du die meisten fixen lasssen einige müssen manuell entfernt werden.
Danach unbedingt einen Browserwechsel vornehmen.
 
Zuletzt bearbeitet:
AW: Nichtgewollte Internetseiten

Mir ist spontan der hier aufgefallen:
C:\temp\salm.exe
Zum Vergrößern anklicken....
Eigentlich sollten Programme die aktiv sind ordentlich installiert sein. Der TEMP-Ordner ist da der falsche Platz.
 
AW: Nichtgewollte Internetseiten

Na Mahlzeit, wenn das einem nicht schon entgegen leuchtet

C:\Program Files\Admilli Service\AdmilliServ.exe
C:\Program Files\Admilli Service\AdmilliKeep.exe

>> http://www.pctools.com/de/mrc/infections/id/Admilli+Service/

Sowas halte ich für Überflüssig, wen es denn nicht sehr speziell ist:
C:\Programme\Kidda Toolbar\kidda.dll
http://kidda.de/toolbar.php
Toller Popup-Blocker... (n)

Jau, es wird immer besser:
C:\WINDOWS\ehome\ehSched.exe

Was ist das hier?
c:\windows\system32\sejuyu.exe

Würde sagen, total verseucht...

BTW Symantec - Antivirus-Software - bei soviel Müll auf dem System hätte
ich das schon längst entsorgt - Symantec hat gar keinen guten Ruf und die
Software lässt jeden Dreck auf das System - Beweise ? Siehe oben

Und wenn du schon CrazyBrowser installiert hast, dann nutze den bitte auch.
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Crazy Browser\Crazy Browser.exe

Mit Crazy wäre das IMO nicht so schnell passiert...
Kam mir direkt ins Auge, wo ich kidda gesehen habe, die meisten Leisten
funktionieren nämlich nur mit dem IE, nicht mal den Aufsätzen
(Crazy, Avant, Maxthon). Und damit hast du per se schon verloren...
 
Na Super

hallo Leute,
vielen Dank für die Mühe die Ihr Euch gemacht habt. Norton ist mitlerweile Vergangenheit, habe mir Antivir raufgezogen und der hat so manches gefunden was Norton nicht fand.

Super Forum
Gruß
Pit
 
Ich glaube nicht, dass das jeder sofort versteht, weil eben NICHT jeder weiss:

Advertising = Werbung


Deswegen schreckt man gleich auf, wenn irgendwas mit ´AD´ beginnt

Gruss
Tim
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben