[Malware] Malware kapert Firefox und zeigt Werbung -- war: werbung???

MadVision

ich hab jetz grad ma ne viertel stunde mein internet an und alle paar minuten öffnet sich n neues firefox fenster mit irgend ner werbung... das letzte war von quelle...
des hat mein laptop noch nie gemacht, weiß auch net woran des liegt...
is des bei euch auch der fall, dass da einfach wenn ihr auf egal welchen seiten surft, einfach sich n neues fenster mit irgendner werbung(von online shop oder sonstigen seiten) öffnet??
kann ich das irgendwie blockieren dass es das nicht mehr tut...

 

 

mue

War letztens en Artikel zu google der Rechner oder die Rechner von google merken sich was du für Suchanfragen hast werten diese aus und stellen die jeweilige Werbung darauf ein.
Die bekommst du dann im laufe des surfens als spontane werbung

Das ist jetzt natürlich stark vereinfacht und verkürzt der Artikel ging über 5 Seiten

keine ahnung wie man das blockiert

 

 

PowerWapiti

hol dir den Internet Explorer

oder lass mal deinen PC nach Spyware durchsuchen.. z.B. mit dem Tool "Spybot" oder AdAware

 

 

MadVision

ja also mit der spyware is vielleicht gar keine schlechte idee... ich hab antivir drauf und des zeigt mir auch immer ne Warnung an, aber die datei kann ich net finden wo in der warnung genannt wird...
internet explorer mag ich net unbedingt so gern...

 

 

OrionX

OMG GOOGLE KANN RECHNER FERNSTEUERN; RETTE SICH WER KAAAAAAAAAAANNNNNNNNNNN!?!?!?!?!?!?!?!!?!?!!!!1111 111111111

ich hoffe das war ironisch gemeint... das ist wie sich aids zu holen um gegen aids geschützt zu sein.

so, verarschemodus aus.

das mit google ist gequirlter schwachsinn. personalisierte werbung einblenden heisst nicht das sich ständig browserfenster öffnen. die google werbung bezieht sich auf google anzeigen und die personalisierte werbung nur auf google eigene seiten bzw seiten die am adwords programm teilnehmen, wie der pp zum beispiel. diese anzeigen sind dann in die seite integriert. die erklärung wie google das macht stimmt auch nicht so ganz, aber das ist ein anderes thema welches ich nicht weiter ausführe.

wenn man das nicht will blockiert man einfach cookies von google.

der internetexplorer ist der weitverbreitetste browser, also GERADE das ziel von Spy und Adware herstellern. abhilfe schafft der also nicht, sondern wirkt mehr als magnet.

google ist zwar böse aber so böse nu auch wieder nicht. es lebe die desinformation.

-------------------------------------
schnipp:

Spybot Search & destroy sollte dir helfen. link siehe waipitis post.

edit: übrigens hält der TeaTimer von spybot deinen browser auch weitestgehend frei von malware. immunisiere bitte erst nach einem scan.

 

 

mue

Hab ja gesagt stark vereinfacht, stand übrigens in der P.M. kann ja wenn du willst den ganzen Artikel Miteinbringen

 

 

OrionX

der artikel hat keine relevanz für das problem. siehe erläuterung oben. ausserdem heisst stark vereinfacht nicht falsch wiedergegeben.

 

 

mue

ok, ok dann hab ichs halt falch wiedergegeben beim nächsten mal acht ich drauf
meine fresse!

 

 

MadVision

hab jetz ma mit AdAware gecheckt was drauf is und alles was warnungen warn und so gelöscht.......
dann hab ich firefox neu geöffnet und "bäm" wieder werbung in nem neuen fenster(diesma von jamba )
hab als startseite about:blank.... also leere seite... kann von daher net unbedingt von google kommen oder doch wenn die cookies gelöscht sind???

 

 

OrionX

nein, das mit google vergiss mal schnell.

gehe mal auf hijackthis.de und lade dir dort das tool hijackthis herunter. führe es aus und sage "Scan and Save a Logfile". poste den inhalt der textdatei (einfach alles was drinsteht) in die textbox auf hijackthis.de und lasse diesen auswerten. entferne alle einträge die hijackthis.de als nicht sicher einstuft. (und nur die die wirklich nicht sicher sind)

 

 

MadVision

so hier ma die logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:54:48, on 27.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\QIP\qip.exe
C:\Dokumente und Einstellungen\MadVision\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://desktop/alles
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PKR Pal] "./\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe


ich habs scho bei der seite eingefügt werd aber net schlau draus weil alles so wie´s ausschaut sicher ist...

 

 

OrionX

pkrpal.exe ist komisch. spielst du onlinepoker?

markiere diesen eintrag mal bei hijackthis (häken in die box links machen) und klicke auf "Fix checked".

da könnte sich allerdings noch etwas spaßigeres eingenistet haben. eigentlich gilt bei malwarebefall -> festplatte formatieren und alles neu machen. wirklich sicher bist du nie wenn der virus einmal ausbrechen konnte.

 

 

MadVision

nee spiel kein online poker....
ich check ja nich ma so wie poker geht

 

 

OrionX

sehr gut dann haben wir evtl ja die quelle:

mach das bitte mal und sag bescheid ob danach die popups noch kommen (achso, neustarten bitte)

 

 

MadVision

ähm welche box links meinst du???
ich find da keine... und "fixed checked" steht auch nirgends...

€dit: habs doch gefunden... werd dann ma neu starten und dann ma weiterschaun

 

 

MadVision

so jetz bin ich vielleicht 5 min online und scho kommt die erste werbung... [http://fp.pc-on-internet.com/sws/021...2&time=312e34]
die seite hat sich geöffnet....

 

 

OrionX

ich vermute du hast dir was ernsthaftes eingefangen.

versuche es noch ein letztes mal indem du alle partitionen mit Stinger prüfst. dieser ist ein notscanner der die schlimmsten viren wirksam entfernt.

 

 

MiKe

Ne Runde Spybot würde auch nicht schaden....

 

 

PowerWapiti

sonst geh mit dem PC mal in den abgesicherten Modus und lass die Tools dort laufen

 

 

MadVision

also stinger zeigt an : number of clean files: 199112
aber von virus oder so wird nix angezeigt

 

 

MiKe

--> Spybot - Search and Destroy
und vielleicht noch CoolWebShredder

 

 

MadVision

meinst wenn ich spybot nehm is dann alles in ordnung weil ich häng jetz scho de ganze nachmittag/abend dran und hab langsam keine lust mehr...

 

 

MiKe

Also Spybot ist sehr verlässlich, weil es einfach gegen sehr viel Spy- und Adware hilft und das System sogar immunisieren kann!

 

 

MadVision

also laut spybot hab ich jetz nix mehr drauf was irgendwie stören könnt...
ich werd des ganze jetz ma so bis morgen oder übermorgen beobachten und dann nochma ne meldung durchgeben
scho ma danke falls es funktioniert hat

 

 

MadVision

also nicht einmal eine viertel stunde später ham sich bestimmt schon wieder 4 oder 5 fenster mit unnötiger werbung geöffnet bzw. fenster in denem ich ein anti spyware programm runterladen sollte o_O
also langsam werd ich net mehr schlau draus... vielleicht sollt ich doch ma nen fachmann dran lassen...