pfc Geschrieben 27. September 2004 Geschrieben 27. September 2004 Hi leute, ist mir noch nie passiert, aber das kommt davon wenn man sowas wie Internet Explorer benutzt. Ich habe folgendes Problem: Wenn ich mich in der URL vertippe, also zum beispiel www.microarsoft.de, werde ich auf eine tolle seite weitergeleitet: Screenshot Greift nur beim IE, firefox hat keine Probleme. Muss also irgendwass in der Registry sein. Adaware und Stinger habe ich noch nicht drüberlaufen lassen, abe kennt das schon einer, oder kann man die registry händisch cleanen? danke gruß pfc Zitieren
DerMatze Geschrieben 27. September 2004 Geschrieben 27. September 2004 Ich kenne das nicht, aber mit CWShredder sollte dir geholfen sein -> klicken <- Zitieren
pepper Geschrieben 27. September 2004 Geschrieben 27. September 2004 Servus, was CWShredder nicht findet, findet HijackThis: Download-Link bei chip.de. Bitte mit Vorsicht genießen und sich die gefundenen Schlüssel vorm Löschen ansehen, sonst sind bspw. Google- oder sonstige Toolbars auch weg. Gruß, pepper Zitieren
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 ich poste mal meine hijackthis ausgabe... Zitieren
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 Danke für die Links, hiJackThis kannte ich von Namen, hatte es bisher nur zum Glück nur noch nie gebraucht Dieser Eintrag hier hat das Problem bei mir gelöst: O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Aber mit Hijackthis muss man schon etwas vorsichtig sein, hatte mir nämlich zuerst die DNS Auflösung zerballert, hrhr. regrds, pfc Zitieren
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 kommando zurück, die nwiz.exe ist von meiner Nvidia Grafikkarte, lol Dann muss es doch der Eintrag hier gewesen sein: O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing Dazu war ein Neustart des Rechners notwendig, jetzt ist alles wieder wie vorher. thx Zitieren
pfc Geschrieben 28. September 2004 Autor Geschrieben 28. September 2004 hi leute, nach nem reboot taucht das problem wieder auf. Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann: Logfile of HijackThis v1.97.7 Scan saved at 21:30:04, on 28.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen. Danke schon mal vorab leute, pfc Zitieren
ingh Geschrieben 29. September 2004 Geschrieben 29. September 2004 Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann: Logfile of HijackThis v1.97.7 Scan saved at 21:30:04, on 28.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Du solltest auf jeden Fall deinen IE upgraden. Aktuell ist momentan v6.0.2800.1106 (IE6SP1), und dazu diverse Patches (Windows Update). O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx Eine Radio-Toolbar? Wenn du sowas nicht bewusst installiert hast, ists auf jeden Fall verdächtig! O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup Das dürfte vermutlich zum NVidia-Treiber gehören. Schau mal auf den Reiter "Version" in den Eigenschaften der dll-Datei. O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe suche die beiden Dateien im Windows32-Verzeichnis und sieh dir die Versionsangaben in den Dateieigenschaften an. Wenn es keinen Reiter "Version" gibt, oder nicht Microsoft drinsteht, ists verdächtig. O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB Scheint von MS zu kommen. Leider gibt sich MS da sehr verschlossen, was es sein könnte. O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Das dürfte das Flash-Plugin sein. Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen. Je nach Art und Grad des AdWare-Befalls würde ich dir sowieso zu einer Neuinstallation raten; solche "nette" Software gräbt sich immer tiefer ins System ein und lädt immer wieder weitere Bestandteile nach, öffnet dazu diverse Backdoors, installiert modifizierte Systemdateien, .... Zitieren
DerMatze Geschrieben 29. September 2004 Geschrieben 29. September 2004 Haste CWShredder schon mal probiert ? Zitieren
pfc Geschrieben 29. September 2004 Autor Geschrieben 29. September 2004 Hallo, wie ich in meinem ersten Threat fälschlicherweise angenommen habe, (Link ) und dachte ich es handele sich bei der Weiterleitung auf diese seite hier: ScreenShot um ein spyware / adware tool, habe ich folgendes rausbekommen: http://bnd-shop.de/ ist zB. auch über folgende URL zu erreichen: http://dummy.de.org/index.htm und über www.microsoft.de.org oder über www.heise.de.org. Quasi, über alle (?) seiten, die über xxxxxx.de.org etc. angesprochen werden Nur macht das der Internet Explorer automatsch. Wen man sich in der URL vertippt, dann versucht der Internet Explorer die nächs möglich Toplevel Domain zu finden und ersetzt die URL automatisch. Nur das habe sich die Herren von bnd-shop zu nutze gemacht, und haben ein redirect von http://dummy.de.org/index.htm auf ihre eigene URL gemacht, denn diese existiert nämlich tatsächlich und ist die nächst logische, jedenfalls für den Internet Explorer. Ich gehe also davon aus, das sich diese Beobachtungen in kürze häufen werden, jedenfalls kann ich meines wissens nach diese Behauptung aufstellen - probiert es selbst mal mit einer x-beliebigen domain aus. xxx.de.org Comments welcome. pfc Zitieren
Thanks-and-Goodbye Geschrieben 29. September 2004 Geschrieben 29. September 2004 Aus zwei Threads einen gemacht und verschoben: Security. Zitieren
OlN Geschrieben 19. Oktober 2004 Geschrieben 19. Oktober 2004 Mahlzeit, bin über google bei euch gelandet, weil mich diese Seite schon einige Zeit nervt. Ich sah leider nun keine andere Möglichkeit, als sowohl dummy.de.org als auch bnd-shop.de in meine hosts Datei zu schreiben. Dann öffnet sich zumindest nicht mehr der Shop. Zitieren
bigredeyes Geschrieben 19. Oktober 2004 Geschrieben 19. Oktober 2004 ist spyware eigentlich erlaubt? oder ist das ein einbruch ins system??? wenn's ein einbruch ist: bnd.shop verklagen?!?! bigredeyes p.s. ich weiß, is ne doofe antwort, aber ich krieg bei spyware auch immer's *****n! Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.