[Spyware] Merkwürdiges Popup @ Win2k

REANiMATED

REANiMATED

treuer Stammgast
Merkwürdiges Popup @ Win2k

Hi,
gestern merkte ich das mein Vater es irgendwie geschafft hatte so eine nervige Toolbar auf den PC zu zaubern trotz Firewall, Antivirus Tool & Popupblocker :eek:

Toolbar lies sich leicht wieder entfernen, wurde als Virus über Antivirus Tool erkannt & weg war es. Merkwürdigerweise bekomme ich nun in fast regelmäßigem Abstand diese dumme Meldung (siehe Anhang).

PC habe ich mit min. 5 verschiedenen Tools gescannt & der findet nicht.
Ist das eine Windowsmeldung oder irgendwelcher Dailerschrott?

*ratlos*

~edit~

Beim drauklicken kommt eine Microsoft Seite, aber bin mir da nicht sehr sicher ob das wirklich von Mircosoft ist.
 

Anhänge

  • alert.gif
    alert.gif
    3,2 KB · Aufrufe: 232
Jaja, die Eltern ;)
Nutzt du ein deutsches XP? Dann ist die Meldung gefaked (Aber auch bei der englischen Version sieht die glaube ich anders aus...).
Poste bitte mal die HP, die aufgerufen wird.
Und wenn möglich, schau dir mit einem Startup Inspector die Programme an, die beim Hochfahren geladen werden.
Interessiert mich ja, was das wieder ist...

PS Ihr nutzt den IE ? :weg
 
Hm also XP hab ich nicht (siehe Threadtitel ;) ).
Ansonsten sagt mir im Startup Inspector alles etwas, gugge da öfters ma rein wegen einigen nervigen Tools.

Wenn der Kram mal wieder kommt mach ich Screenshot, komischerweise hab ich vorhins irgendwas gekillt namen Windows Service oder Windows Security ausm Taskmanager. Kann gut sein das es das war.
Eine bndmod.exe ging dann auch noch drauf.

Alles sehr seltsam.

PS: Weisst ja wie Eltern so sind :D
 
Wer liest denn Titel ;)
W2000.... was war das noch...ach ja: Da ist die Sicherheitscentermeldung natürlich völlig fehl am Platz und kommt von einem Drittanbieter.
Kann natürlich sein, dass du den gekillt hast. Wenn er nicht wiederkommt, ist ja ruh :)

Der Startup-Monitor warnt auch während eines Neueintrages, den ein Programm vornehmen möchte...

StartupMonitor.png
 
Leider kam er wieder :(
Im Anhang sind die Seiten zu sehen die dann kommen.

~edit~

Als ich grad raus bin beepte mein PC einmal und eine "Windows Security Center" Anwendung lief im Task :eek:
Habe mit Process Explorer nix gefundn wo das dazugehört, nachm beenden wollte dann auch noch eine bndmod.exe aufhören (laut Suche habe ich so was gar nicht :eek: ).

Alles recht komisch.
 

Anhänge

  • 1.gif
    1.gif
    21 KB · Aufrufe: 180
  • 2.gif
    2.gif
    77,5 KB · Aufrufe: 197
  • 3.gif
    3.gif
    29,4 KB · Aufrufe: 177
  • 4.gif
    4.gif
    27,2 KB · Aufrufe: 165
  • _bild1.gif
    _bild1.gif
    9,5 KB · Aufrufe: 173
Zuletzt bearbeitet:
Definitiv ein Hijacker.
Wie du an der Firewall-Meldung erkennen kannst, wird Verbindung mit htetepeh://winprotect.net/ aufgenommen.

Wenn ich per Opera die Seite aufrufe, ist das eine dieser stinkenden Suchengines, die keiner braucht.

Interessanterweise gab es schon andere Hilfesuchende: Beispiel?

Englische Erläuterung:

CoolWebSearch/WinProtect: a background process that periodically appears in the system tray and pops up a warning balloon about spyware. If clicked, this opens a Windows Help file that redirects to winprotect.net, where altered versions of Microsoft’s spyware pages advertise rogue anti-spyware products.
Also known as CoolWWWSearch, CWS.

Installed by exploitation of web browser security holes. A wide variety of exploits have been used, mostly of well-known long-unpatched bugs in the Microsoft Java VM and Internet Explorer, but also since November 2004 one bug in the Sun Java VM.


Mein Tip: HijackThis-Log erstellen und auswerten (Noch eine Bilderbeschreibung hier) sowie den Einsatz von CWS Shredder.

Dann vielleicht noch der übliche Tip, alle aktuellen Patches auf dem PC deines Vaters zu installieren, dmit wenigstens die schon gefixten Lücken des IE nicht bei ihm greifen...
Oder besser: Spiele ihm FF oder Opera rauf :rolleyes:

Viel Glück!

Gruß
Jensus
 
So, den CWS Shredder hab ich eingesetzt & er hat etwas namens VX2.Look2Me gelöscht *juhu*.
Danach habe ich HijackThis durchlaufen lassen & das einzige was er als Probleme aufgezeigt hat sind:

  • MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) | Eventuell veraltet
  • C:\Programme\Super Ad Blocker\SABSVC.EXE | Unbekannt (mein Popupblocker)
  • C\Programme\Super Ad Blocker\SAdBlock.exe | Unbekannt (Updatedings vom Blocker)
  • O1 - Hosts: localhost 127.0.0.1 | Eventuell Böse (löl mein böser LH ;) )
    - O4 - HKLM\..\Run: [AtomTime] "C:\Programme\AtomTime Pro\AtomTime.EXE" | Unbekannt (Atomtime Syncer)
  • O17 - HKLM\System\CCS\Services\Tcpip\..\{23C2CAFF-8730-40A3-8A4E-29AD453C609E}: NameServer = 69.50.168.139,85.255.112.20 | Eventuell Böse ( :eek: Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
    Kennen Sie die IP oder die Domäne '69.50.168.139,85.255.112.20' nicht, fixen. )
  • O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programme\Super Ad Blocker\SABSVC.EXE | Unbekannt (Der Blocker wieder)

Ich denke mal das du mir damit sehr geholfen hast :)
Falls doch noch was ist, komme ich schreiend zurück ;)
 
Boah nervig *grml*
Grad geh ich an PC und was kommt, mein Lieblingspopup :(

Hab jetzt das letzte was HijackThis meinte gefixt (die beiden Ips)
  • 69.50.160.0 - 69.50.191.255
    InterCage, Inc.
    1955 Monument Blvd.
    #236
    Concord, CA
    US
  • 85.255.112.0 - 85.255.127.255
    Inhoster hosting company
    OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Hoffe das hilfe *bet*
Oder muss ich den Localhost auch fixen :eek: ?

~edit~

Half auch nichts :(
 
Zuletzt bearbeitet:
Ein ähnliches Problem hatte ein Kumpel von mir mit dem PC seiner Eltern. Er war eindeutig mit Spyware und sonstigem Kram infiziert. Also haben wir das volle Programm durchgespielt, mit Desktop Firewall erst mal alles blockiert, dann AV Programme, Spybot, Adaware. Alle Programme sagen am Schluss das System war sauber. Aber kaum schalteten wir die Firewall ab hat sich das Zeug wieder von selbst runtergeladen und alles war so wie vorher (Popups, seltsame Systemmeldungen, etc). Irgendwas hatte sich da also noch irgendwo eingenistet und alle Programme hatten es übersehen.

Letztendlich haben wir den Rechner dann neu installiert und nur noch Opensource Programme wie Firefox und Thunderbird aufgespielt. Seit dem läuft die Sache wieder rund ...


Gruß

FormA
David
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben