pfc Geschrieben 27. September 2004 Geschrieben 27. September 2004 Hi leute, ist mir noch nie passiert, aber das kommt davon wenn man sowas wie Internet Explorer benutzt. Ich habe folgendes Problem: Wenn ich mich in der URL vertippe, also zum beispiel www.microarsoft.de, werde ich auf eine tolle seite weitergeleitet: Screenshot Greift nur beim IE, firefox hat keine Probleme. Muss also irgendwass in der Registry sein. Adaware und Stinger habe ich noch nicht drüberlaufen lassen, abe kennt das schon einer, oder kann man die registry händisch cleanen? danke gruß pfc
DerMatze Geschrieben 27. September 2004 Geschrieben 27. September 2004 Ich kenne das nicht, aber mit CWShredder sollte dir geholfen sein -> klicken <-
pepper Geschrieben 27. September 2004 Geschrieben 27. September 2004 Servus, was CWShredder nicht findet, findet HijackThis: Download-Link bei chip.de. Bitte mit Vorsicht genießen und sich die gefundenen Schlüssel vorm Löschen ansehen, sonst sind bspw. Google- oder sonstige Toolbars auch weg. Gruß, pepper
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 ich poste mal meine hijackthis ausgabe...
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 Danke für die Links, hiJackThis kannte ich von Namen, hatte es bisher nur zum Glück nur noch nie gebraucht Dieser Eintrag hier hat das Problem bei mir gelöst: O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Aber mit Hijackthis muss man schon etwas vorsichtig sein, hatte mir nämlich zuerst die DNS Auflösung zerballert, hrhr. regrds, pfc
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 kommando zurück, die nwiz.exe ist von meiner Nvidia Grafikkarte, lol Dann muss es doch der Eintrag hier gewesen sein: O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing Dazu war ein Neustart des Rechners notwendig, jetzt ist alles wieder wie vorher. thx
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 hi leute, nach nem reboot taucht das problem wieder auf. Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann: Logfile of HijackThis v1.97.7 Scan saved at 21:30:04, on 28.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen. Danke schon mal vorab leute, pfc
ingh Geschrieben 29. September 2004 Geschrieben 29. September 2004 Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann: Logfile of HijackThis v1.97.7 Scan saved at 21:30:04, on 28.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Du solltest auf jeden Fall deinen IE upgraden. Aktuell ist momentan v6.0.2800.1106 (IE6SP1), und dazu diverse Patches (Windows Update). O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx Eine Radio-Toolbar? Wenn du sowas nicht bewusst installiert hast, ists auf jeden Fall verdächtig! O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup Das dürfte vermutlich zum NVidia-Treiber gehören. Schau mal auf den Reiter "Version" in den Eigenschaften der dll-Datei. O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe suche die beiden Dateien im Windows32-Verzeichnis und sieh dir die Versionsangaben in den Dateieigenschaften an. Wenn es keinen Reiter "Version" gibt, oder nicht Microsoft drinsteht, ists verdächtig. O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB Scheint von MS zu kommen. Leider gibt sich MS da sehr verschlossen, was es sein könnte. O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Das dürfte das Flash-Plugin sein. Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen. Je nach Art und Grad des AdWare-Befalls würde ich dir sowieso zu einer Neuinstallation raten; solche "nette" Software gräbt sich immer tiefer ins System ein und lädt immer wieder weitere Bestandteile nach, öffnet dazu diverse Backdoors, installiert modifizierte Systemdateien, ....
DerMatze Geschrieben 29. September 2004 Geschrieben 29. September 2004 Haste CWShredder schon mal probiert ?
pfc Geschrieben 29. September 2004 Autor Geschrieben 29. September 2004 Hallo, wie ich in meinem ersten Threat fälschlicherweise angenommen habe, (Link ) und dachte ich es handele sich bei der Weiterleitung auf diese seite hier: ScreenShot um ein spyware / adware tool, habe ich folgendes rausbekommen: http://bnd-shop.de/ ist zB. auch über folgende URL zu erreichen: http://dummy.de.org/index.htm und über www.microsoft.de.org oder über www.heise.de.org. Quasi, über alle (?) seiten, die über xxxxxx.de.org etc. angesprochen werden Nur macht das der Internet Explorer automatsch. Wen man sich in der URL vertippt, dann versucht der Internet Explorer die nächs möglich Toplevel Domain zu finden und ersetzt die URL automatisch. Nur das habe sich die Herren von bnd-shop zu nutze gemacht, und haben ein redirect von http://dummy.de.org/index.htm auf ihre eigene URL gemacht, denn diese existiert nämlich tatsächlich und ist die nächst logische, jedenfalls für den Internet Explorer. Ich gehe also davon aus, das sich diese Beobachtungen in kürze häufen werden, jedenfalls kann ich meines wissens nach diese Behauptung aufstellen - probiert es selbst mal mit einer x-beliebigen domain aus. xxx.de.org Comments welcome. pfc
Gast Geschrieben 29. September 2004 Geschrieben 29. September 2004 Aus zwei Threads einen gemacht und verschoben: Security.
OlN Geschrieben 19. Oktober 2004 Geschrieben 19. Oktober 2004 Mahlzeit, bin über google bei euch gelandet, weil mich diese Seite schon einige Zeit nervt. Ich sah leider nun keine andere Möglichkeit, als sowohl dummy.de.org als auch bnd-shop.de in meine hosts Datei zu schreiben. Dann öffnet sich zumindest nicht mehr der Shop.
bigredeyes Geschrieben 19. Oktober 2004 Geschrieben 19. Oktober 2004 ist spyware eigentlich erlaubt? oder ist das ein einbruch ins system??? wenn's ein einbruch ist: bnd.shop verklagen?!?! bigredeyes p.s. ich weiß, is ne doofe antwort, aber ich krieg bei spyware auch immer's *****n!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden