flugfaust
Goto Top

Popups von IE mit Firefox

Hallo,

ich habe schon nach meinem Problem gegoogelt, aber keine vernünftige Lösung gefunden.
Ich verwende auf meinem Rechner unter WINXP Pro SP3 den Firefox. Sporadisch popen irgendwelche Fenster vom IE auf.
Ich habe auf beiden Browsern den Popupblocker aktiviert, IE 8 mittlerweile installiert, Firefox ständig upgedatet, einige Malware Scanner drüber laufen lassen, Virenscanner versucht aber nichts hilft.

Kennt jemand das Problem bzw eine Lösung?

Gruß
flugfaust

Content-Key: 118623

Url: https://administrator.de/contentid/118623

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Supermax
Supermax 20.06.2009 um 11:53:13 Uhr
Goto Top
Welche Malware-Scanner hast du denn verwendet? Es sieht sehr danach aus, als hättest du dir irgendeine AdWare eingefangen, eventuell mit einer Shareware, die du mal installiert hast.

Checke mal deinen Rechner mit AdAware oder Spybot S+D
Mitglied: mrtux
mrtux 20.06.2009 um 16:06:22 Uhr
Goto Top
Hi !

Zitat von @Supermax:
aus, als hättest du dir irgendeine AdWare eingefangen, eventuell
mit einer Shareware, die du mal installiert hast.

Genauso hört sich das auch für mich an. Vielleicht auch mal einen Offline Malwarescan (z.B. mit BartPE oder Knoppicillin) durchführen, wird aber eher Adware sein. Falls garnix hilft, könntest Du auch ein Logfile mit Highjackthis erstellen und hier posten.

mrtux
Mitglied: flugfaust
flugfaust 21.06.2009 um 14:11:50 Uhr
Goto Top
Hallo,

zunächst schon einmal DANKE an euch dass ihr mir weiterhelfen wollt.
Gegen Malware setze ich bereits Ad-Aware ein, der hat aber nach nem Systemscan auch nichts gefunden.
Anbei das HiJackthis Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:07, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Symantec\Backup Exec\DLO\DLOChangeLogSvcu.exe
C:\Programme\Google\Update\GoogleUpdate.exe
D:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Symantec\Backup Exec\RAWS\beremote.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
D:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\username\Anwendungsdaten\Save\Save.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\ICQ6.5\ICQ.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.flugfaust.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von IE von Markus Bock
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.8:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.*;localhost;<local>
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [\\server\EPSON Stylus D88] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P25 "\\server\EPSON Stylus D88" /O19 "192.168.0.102:Epson" /M "Stylus D88"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Save] C:\Dokumente und Einstellungen\username\Anwendungsdaten\Save\Save.exe
O4 - Global Startup: Symantec Backup Exec Desktop Agent.lnk = C:\Programme\Symantec\Backup Exec\DLO\DLOClientu.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\vmware\vsocklib.dll
O10 - Unknown file in Winsock LSP: d:\programme\vmware\vsocklib.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.flugfaust.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/clie ...
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bock.net
O17 - HKLM\Software\..\Telephony: DomainName = bock.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bock.net
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Backup Exec Remote Agent for Windows Systems (BackupExecAgentAccelerator) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\RAWS\beremote.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Backup Exec DLO-Agent Änderungsjournalanzeige (DLOChangeJournalSvc) - Symantec Corporation - C:\Programme\Symantec\Backup Exec\DLO\DLOChangeLogSvcu.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9ab074622ade6) (gupdate1c9ab074622ade6) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - D:\Programme\VMWare\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMWare\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe>

--
End of file - 9129 bytes
Mitglied: flugfaust
flugfaust 21.06.2009 um 14:12:37 Uhr
Goto Top
Mitglied: mrtux
mrtux 21.06.2009 um 18:18:22 Uhr
Goto Top
Hi !

Zitat von @flugfaust:
>O4 - HKCU\..\Run: [Save] C:\Dokumente und
Einstellungen\markus.bock\Anwendungsdaten\Save\Save.exe

Das Ding sieht mir doch schwer nach Adware aus aber 100% sicher bin ich mir nicht, so kreativ wie die Adware Branche ist. face-sad Google bestätigt aber eigentlich meinen Verdacht. Vielleicht reicht es schon den PC abgesichert zu starten und die Datei (sicherheitshalber) umzubenennen. Nach meinen Erfahrungen in der Vergangenheit, bezweifle ich jedoch ob es wirklich so einfach ist und dann hilft nur noch den PC mit einer sauberen Live CD zu starten und dem Übeltäter so zu Leibe zu rücken.

Vorher würde ich aber noch andere Adware Tools probieren, da keines der bekannten Tools auch wirklich alle Adware erkennt und entfernt, zumindest nach meiner Erfahrung.

Auf ein Backup deiner Daten, brauche sicherlich nicht hinzuweisen, das hast Du bestimmt schon gemacht.... face-smile

mrtux
Mitglied: flugfaust
flugfaust 22.06.2009 um 20:39:52 Uhr
Goto Top
Jo. Hätt ich auch selbst drauf kommen können. Hab die SAVE.EXE aber nicht gefunden. Würdest du bitte den Usernamen noch umändern?

DANKE für eure Hilfe