<www.searc-h.com> PopUps / Werbebanner | Hilfe, Virenbefall!

Dieses Thema <www.searc-h.com> PopUps / Werbebanner | Hilfe, Virenbefall! im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von eselhund, 25. Okt. 2005.

Thema: <www.searc-h.com> PopUps / Werbebanner | Hilfe, Virenbefall! Hab mir irgend so nen Mist eingefangen, Es kommen andauernd irgendwelche Pop-Ups und Werbebanner. Teilweise wenn ich...

  1. Hab mir irgend so nen Mist eingefangen, Es kommen andauernd irgendwelche Pop-Ups und Werbebanner. Teilweise wenn ich eine Seite in die Adresszeile eingebe und öffnen will, verkleinert sie sich und irgend eine sch** Werbung wird angezeigt!
    Es wirkt so, als ob diese weitergeleitet werden... Also es die URL verändert sich und dabei auch meist die Fenstergröße...
    Hab schon einiege Scans gemacht (AntiVir, Ad-Aware, ewido security, MS Antispy, Spybot) Auch im Abgesicherten Modus. Ich hab auch einen Eintrag manuell aus der Registry gelöscht, aber alles ohne Erfolg. Dieses Problem ist wohl schon öffters aufgetreten, da ich schon einiges dazu im Internet fand, doch trotzh allem hab ich's noch nicht gelöst!

    Ich hoff ihr könnt mir weiterhelfen :'(


    Ich schreibe unten mal das Logfile von HijackThis rein!



    Unter anderem folgende Pop-Ups sind schon aufgetreten:
    (Es sind auch Werbebanner ohne Adresszeile aufgetaucht...)

    hTp://splash.blinko.com/SP17/?mk=bla_azlco&amp;mk=bla_azlco

    hTp://us.dadamobile.com/splash/specialoffer_us2.html

    hTp://www.searc-h.com/normal/yyy53.html (Dieser kommt am öfftesten bzw. diese Adresse steht da aber es sind meist unterscheidliche Inhalte im Fenster zu sehen!)





    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 12:48:29, on 25.10.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    C:\Programme\ewido\security suite\ewidoctrl.exe
    C:\Programme\ewido\security suite\ewidoguard.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Microsoft AntiSpyware\gcasServ.exe
    C:\Programme\Multimedia Card Reader\shwicon2k.exe
    C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
    C:\Programme\Spybot - Search &amp; Destroy\TeaTimer.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\ICQ\Icq.exe
    C:\Dokumente und Einstellungen\Besitzer\Desktop\hijackthis_199\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://google.de/[/url]
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &amp;Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [gcasServ] C:\Programme\Microsoft AntiSpyware\gcasServ.exe
    O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &amp; Destroy\TeaTimer.exe
    O8 - Extra context menu item: Nach Microsoft &amp;Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
    O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F1962E28-7782-4A17-97D0-C48E9B5463CE}: NameServer = 195.71.150.69 193.189.244.205
    O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\ir0ol5d31.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    
    

    Es ist besonders ärgerlich, da ich gerade ein FestplattenImage mit Hilfe von Acronis True Image machen wollte. Gibt es eine Möglichkeit, nachdem ich diesen Sch** wegbekommen habe das System wieder zu bereinigen oder so etwas in der Art??
    -Oder ist das System dadurch nicht weiter in Mitleidenschaft getreten?
     
  2. Das dürfte der Übeltäter sein. Überprüfe die Datei bitte einmal hier und teile das Ergebnis mit:

    http://virusscan.jotti.org/de/ ( JavaScript erforderlich )

    Wenn du die Datei nicht finden solltest, stelle die Ornderoptionen so ein, dass alle Dateien angezeigt werden.

    SDNDNK
     
  3. Ich weiß jetzt auch nicht so genau woran das liegen könnte, aber wenn ich auch Abschicken klicke kommt folgendes:

    The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file



    Hab aber JavaScript an! (mit IE und FF)
     
  4. So ein Mist aber auch! :mad:


    Da geht es auch nicht, es läd kurz dann bricht es ab und das Verzeichnis-Feld ist wieder leer!


    EDIT //


    Kann es sein, das diese beiden Online-Scanner nicht mit dieser Datei klarkommen?
    - Denn mit anderen Dateien geht es beides mal problemlos!
     
  5. OK. Dann versuche es einmal so:

    Starte in den abgesicherten Modus: Neustarten, während des Bootens die Taste F8 gedrückt halten ( wenn die Meldung kommt: Windows wird gestartet ), dann den abgesicherten Modus auswählen

    Starte dann HijackThis und fixe den Eintrag ( links das Kästchen anhaken, dann Fix checked klicken ):

    O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\ir0ol5d31.dll

    Achtung! Es kann sein, dass die Datei ( ir0ol5d31.dll ) sich jetzt umbenannt hat, fixe also den entsprechenden 020 Eintrag.

    Starte wieder in den normalen Modus ( einfach neustarten ) und versuche dann, die Datei nochmals bei Jotti oder Kaspersky zu prüfen.

    SDNDNK
     
  6. Ich habe die Datei wie du gesagt hast gefixt (im Abgesicherten Modus), sie hieß auch andres wie du prohezeit hast. Nun probiert diese zu scannen und es kommt die selbe Meldung wie zuvor auch schon!

    Aktueller Name:
    C:\WINDOWS\system32\f8j2li1o18.dll



    ...Was nun??

    Soll ich die Datei manuelle löschen, oder bringt das nichts?
     
  7. Das wird nichts bringen. Die Einträge unter 020 sind manchmal etwas schwierig in den Griff zu bekommen.

    Es scheint sich um eine Look2me Infektion zu handeln. Die hast du dir eingefangen, weil dein Windows und dein Internet Explorer nicht aktuell sind. Es fehlen wichtige Sicherheits-Updates! Dazu aber später mehr.

    Es gibt zwei kleine Fixtool für den Schädling, das du hier findest ( siehe: Look2Me-Fix ).

    http://www.wintotal.de/Spyware/index.php?Filter=K

    Lade dir erst einmal das Fixtool von Symantec

    http://securityresponse.symantec.com/avcenter/venc/data/spyware.look2me.html

    herunter. Dann starte den Rechner wieder in den abgesicherten Modus und lasse das Tool laufen.

    Wenn das Tool durchgelaufen ist, starte wieder in den normalen Modus und poste einen neuen HijackThis Bericht.

    SDNDNK

    Direktlink entfernt; Forumsregeln Punkt 7 http://www.wintotal-forum.de/index.php/topic,8546.0.html
     
  8. Es wurde nichts, gefunden bei dem Scan.

    Aber ich dachte ich poste das Logfile trotzdem mal, wird aber wahrscheinlich nichts bringen!



    Und das andere Programm, von welchem du erzähltest, kann ich nicht finden... Ich such mal weiter...
    EDIT//

    Hab's gefunden, alerdings weiß ich nicht so recht was ich damit machen soll, denn da sind einige *.exe's drin...




    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 17:01:40, on 25.10.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    C:\Programme\ewido\security suite\ewidoctrl.exe
    C:\Programme\ewido\security suite\ewidoguard.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Microsoft AntiSpyware\gcasServ.exe
    C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Programme\Multimedia Card Reader\shwicon2k.exe
    C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\Spybot - Search &amp; Destroy\TeaTimer.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Besitzer\Desktop\hijackthis_199\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://google.de/[/url]
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &amp;Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [gcasServ] C:\Programme\Microsoft AntiSpyware\gcasServ.exe
    O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &amp; Destroy\TeaTimer.exe
    O8 - Extra context menu item: Nach Microsoft &amp;Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
    O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F1962E28-7782-4A17-97D0-C48E9B5463CE}: NameServer = 195.71.150.69 193.189.244.205
    O20 - Winlogon Notify: MS-DOSOptions - C:\WINDOWS\system32\lvno0953e.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    
    
     
  9. Habe ich schon befürchtet, dass das Teil immer noch da ist. :-X Das ist das Problem von Removal-Tools. Sobald eine Variante mit der kleinsten Abweichung auftaucht, versagen sie.

    Du könntest jetzt noch versuchen, Spybot S &amp; D im abgesicherten Modus laufen zu lassen. Vorher update!

    Wenn das auch nicht hilft, wirst du wohl ober übel den manuellen Weg gehen müssen:

    http://www.bleepingcomputer.com/for...arch42com-MSevents-tx18610-0.html#entry110599

    SDNDNK
     
Die Seite wird geladen...

<www.searc-h.com> PopUps / Werbebanner | Hilfe, Virenbefall! - Ähnliche Themen

Forum Datum
Popups wegen Adobe Flash Player Updates Windows 7 Forum 4. Juli 2013
Popups mit Adblock Plus blocken Windows XP Forum 10. Sep. 2010
NSIS advertisment Popups Windows XP Forum 17. Juli 2006
Ich bekomme die Popups nicht weg Web-Browser 9. März 2006
Popups Windows XP Forum 1. Feb. 2006