Zum Inhalt springen

IE 6 - Spyware/adware gefangen


Empfohlene Beiträge

Geschrieben

Hi leute,

ist mir noch nie passiert, aber das kommt davon wenn man sowas wie Internet Explorer benutzt.

Ich habe folgendes Problem:

Wenn ich mich in der URL vertippe, also zum beispiel www.microarsoft.de, werde ich auf eine tolle seite weitergeleitet:

Screenshot

Greift nur beim IE, firefox hat keine Probleme.

Muss also irgendwass in der Registry sein.

Adaware und Stinger habe ich noch nicht drüberlaufen lassen, abe kennt das schon einer, oder kann man die registry händisch cleanen?

danke gruß

pfc

Geschrieben

Danke für die Links,

hiJackThis kannte ich von Namen, hatte es bisher nur zum Glück nur noch nie gebraucht :D

Dieser Eintrag hier hat das Problem bei mir gelöst:

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Aber mit Hijackthis muss man schon etwas vorsichtig sein, hatte mir nämlich zuerst die DNS Auflösung zerballert, hrhr.

regrds,

pfc

Geschrieben

kommando zurück, die nwiz.exe ist von meiner Nvidia Grafikkarte, lol

Dann muss es doch der Eintrag hier gewesen sein:

O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing

Dazu war ein Neustart des Rechners notwendig, jetzt ist alles wieder wie vorher.

thx

Geschrieben

hi leute,

nach nem reboot taucht das problem wieder auf.

Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann:

Logfile of HijackThis v1.97.7

Scan saved at 21:30:04, on 28.09.2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen.

Danke schon mal vorab leute,

pfc

Geschrieben
Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann:

Logfile of HijackThis v1.97.7

Scan saved at 21:30:04, on 28.09.2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du solltest auf jeden Fall deinen IE upgraden. Aktuell ist momentan v6.0.2800.1106 (IE6SP1), und dazu diverse Patches (Windows Update).

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Eine Radio-Toolbar? Wenn du sowas nicht bewusst installiert hast, ists auf jeden Fall verdächtig!

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

Das dürfte vermutlich zum NVidia-Treiber gehören.

Schau mal auf den Reiter "Version" in den Eigenschaften der dll-Datei.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

suche die beiden Dateien im Windows32-Verzeichnis und sieh dir die Versionsangaben in den Dateieigenschaften an. Wenn es keinen Reiter "Version" gibt, oder nicht Microsoft drinsteht, ists verdächtig.

Scheint von MS zu kommen. Leider gibt sich MS da sehr verschlossen, was es sein könnte.

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Das dürfte das Flash-Plugin sein.

Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen.

Je nach Art und Grad des AdWare-Befalls würde ich dir sowieso zu einer Neuinstallation raten; solche "nette" Software gräbt sich immer tiefer ins System ein und lädt immer wieder weitere Bestandteile nach, öffnet dazu diverse Backdoors, installiert modifizierte Systemdateien, ....

Geschrieben

Hallo,

wie ich in meinem ersten Threat fälschlicherweise angenommen habe,

(Link ) und dachte ich es handele sich bei der Weiterleitung auf diese seite hier:

ScreenShot

um ein spyware / adware tool, habe ich folgendes rausbekommen:

http://bnd-shop.de/ ist zB. auch über folgende URL zu erreichen:

http://dummy.de.org/index.htm

und über www.microsoft.de.org oder über www.heise.de.org.

Quasi, über alle (?) seiten, die über xxxxxx.de.org etc. angesprochen werden

Nur macht das der Internet Explorer automatsch.

Wen man sich in der URL vertippt, dann versucht der Internet Explorer die nächs möglich Toplevel Domain zu finden und ersetzt die URL automatisch.

Nur das habe sich die Herren von bnd-shop zu nutze gemacht, und haben ein redirect von http://dummy.de.org/index.htm auf ihre eigene URL gemacht, denn diese existiert nämlich tatsächlich und ist die nächst logische, jedenfalls für den Internet Explorer.

Ich gehe also davon aus, das sich diese Beobachtungen in kürze häufen werden, jedenfalls kann ich meines wissens nach diese Behauptung aufstellen - probiert es selbst mal mit einer x-beliebigen domain aus.

xxx.de.org

Comments welcome.

pfc

  • 3 Wochen später...
Geschrieben

Mahlzeit,

bin über google bei euch gelandet, weil mich diese Seite schon einige Zeit nervt.

Ich sah leider nun keine andere Möglichkeit, als sowohl dummy.de.org als auch bnd-shop.de in meine hosts Datei zu schreiben. Dann öffnet sich zumindest nicht mehr der Shop.

Geschrieben

ist spyware eigentlich erlaubt? oder ist das ein einbruch ins system???

wenn's ein einbruch ist: bnd.shop verklagen?!?!

bigredeyes

p.s. ich weiß, is ne doofe antwort, aber ich krieg bei spyware auch immer's *****n!

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...