WinFuture-Forum.de: Lästiges Popup - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Internet
  • 3 Seiten +
  • 1
  • 2
  • 3

Lästiges Popup

#1 Mitglied ist offline   Unwissender 

  • Gruppe: aktive Mitglieder
  • Beiträge: 220
  • Beigetreten: 15. Mai 05
  • Reputation: 0

geschrieben 10. August 2005 - 22:54

Sali zäme
Ein Kolleg hat ein extrem lästiges PopUp.Als Browser hat er IE auf WinXP mit SP2.
Und zwar heisst das Ding http://netwbsearch2.com
Haben jetzt schon folgendes probiert:
Systemsteuerung>Internetoptionen>alle Cookies und Dateien gelöscht.
Dann >c:>Dokumente und Einstellungen>Lokale Einstellungen......... dort alles gelöscht was in Temporary Internet Files-Ordner und Temp-Ordner war.
Dann noch den Spybot installiert und durchlaufen lassen.
Dieses PopUp kommt immer noch so ca alle 5 min.
Was können wir noch versuchen?

Dieser Beitrag wurde von Unwissender bearbeitet: 10. August 2005 - 23:00

Zitat von Bart Simpson:
Lieber Gott wir danken dir für gar nichts wir haben alles selbst bezahlt,Amen
0

Anzeige

#2 Mitglied ist offline   BadAss 

  • Gruppe: aktive Mitglieder
  • Beiträge: 405
  • Beigetreten: 11. Mai 05
  • Reputation: 0

geschrieben 10. August 2005 - 23:10

Ohne langes Rumgerede:

Die Kiste ist kompromittiert.

1. format C:\
2. Neuinstallieren
3. Einen Browser, keine Shell im Internet benutzen.
0

#3 Mitglied ist offline   andreasm 

  • Gruppe: aktive Mitglieder
  • Beiträge: 707
  • Beigetreten: 19. Juni 05
  • Reputation: 0

geschrieben 10. August 2005 - 23:16

probiere mal : http://www.merijn.or.../hijackthis.zip

und werte es auf www.hijackthis.de aus....

@badass: Sicher, dass man da wirklich formatieren sollte?
0

#4 Mitglied ist offline   BadAss 

  • Gruppe: aktive Mitglieder
  • Beiträge: 405
  • Beigetreten: 11. Mai 05
  • Reputation: 0

geschrieben 11. August 2005 - 11:00

Klar. Aber ich bin auch der Auffassung, dass man Anit-Malware-Software wie Virenschutz, Anti-Spyware und wie sie alle heißen jetzt nicht mehr zutrauen kann, das System zu retten. :P
0

#5 Mitglied ist offline   shogun03 

  • Gruppe: Verbannt
  • Beiträge: 894
  • Beigetreten: 26. März 05
  • Reputation: 0

geschrieben 11. August 2005 - 12:21

man könnte fast meinen, formatieren ist nur die faulheit zu lernen :P

@Unwissender

poste mal bitte das hijackthis logbuch , nach deiner beschreibung zu urteilen hast du nur einen adware-prozess laufen den man finden und löschen muss , am besten geht das dann immer im abgesicherten modus des windows.
0

#6 Mitglied ist offline   Unwissender 

  • Gruppe: aktive Mitglieder
  • Beiträge: 220
  • Beigetreten: 15. Mai 05
  • Reputation: 0

geschrieben 11. August 2005 - 21:31

Logfile of HijackThis v1.99.1
Scan saved at 22:29:43, on 11.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\windows\system32\ngpw36.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.860\ HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kpnlfzshoetszdck.us/rgQlTSiyGw_...9SWALlJ8ei.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ngsh33.clsIS - {941CA48C-3984-4E7D-AAF8-8755ED76EB50} - c:\windows\system32\ngsh33.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Aapp] C:\windows\system32\adprot
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [ngpw36] C:\windows\system32\ngpw36.exe
O4 - HKCU\..\Run: [adprot] C:\windows\system32\adprot.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1119889947093
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
Zitat von Bart Simpson:
Lieber Gott wir danken dir für gar nichts wir haben alles selbst bezahlt,Amen
0

#7 Mitglied ist offline   Elren Luthien 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.981
  • Beigetreten: 20. September 04
  • Reputation: 6

geschrieben 11. August 2005 - 22:41

Hier das Ergebnis:

klick


Den bösen Eintrag unbedingt im abgesicherten Modus bei abgeschalteter Systemwiederherstellung fixen.

Die Unbekannten überprüfen (kennst Du die Anwendungen?, Virenscan) und ggf. auch fixen.

Browserwechsel und das Lesen unserer gepinnten Sicherheits-Threads ist zu empfehlen. :cursing:

So much for dreams we see but never care to know
Your heart makes me feel
Your heart makes me moan
For always and ever, I'll never let go..."

Elrens Blog Elren auf Last.fm Elren bei SysProfile
0

#8 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 11. August 2005 - 23:13

Zitat

man könnte fast meinen, formatieren ist nur die faulheit zu lernen

Nein, eher der Beginn. Denn wenn die Bereinigung so aufwendig ist, sollte man langsam begreifen, daß es sinnvoller ist, es gar nicht erst soweit kommen zu lassen.

Desweiteren ist die Auswertung teilweise doch eher bescheiden:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kpnlfzsho...9SWALlJ8ei.html      Gut
Gut    Diese Seite wurde als Gut identifiziert!

Lol.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#9 Mitglied ist offline   Unwissender 

  • Gruppe: aktive Mitglieder
  • Beiträge: 220
  • Beigetreten: 15. Mai 05
  • Reputation: 0

geschrieben 11. August 2005 - 23:52

Zitat (Elren Luthien: 11.08.2005, 23:41)

Hier das Ergebnis:

klick
Den bösen Eintrag unbedingt im abgesicherten Modus bei abgeschalteter Systemwiederherstellung fixen.

Die Unbekannten überprüfen (kennst Du die Anwendungen?, Virenscan) und ggf. auch fixen.

Browserwechsel und das Lesen unserer gepinnten Sicherheits-Threads ist zu empfehlen. :cursing:
<{POST_SNAPBACK}>


Also einfach die Datei c:\windows\system32\ngsh33.dll im abgesicherten Modus löschen?
Wie gesagt,das ist der PC eines Kollegen.Kann sowas durch den IE auf den Rechner kommen?
Zitat von Bart Simpson:
Lieber Gott wir danken dir für gar nichts wir haben alles selbst bezahlt,Amen
0

#10 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 12. August 2005 - 00:01

Zitat

Kann sowas durch den IE auf den Rechner kommen?

Hey, mein Unpatched-Counter für den IE ist seit dem letzten Patch-Day auf 60 runtergegangen...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#11 Mitglied ist offline   BadAss 

  • Gruppe: aktive Mitglieder
  • Beiträge: 405
  • Beigetreten: 11. Mai 05
  • Reputation: 0

geschrieben 12. August 2005 - 00:10

Zitat

Kann sowas durch den IE auf den Rechner kommen?


JA!!!!!!!!!!!!!!!! 11111!!!!!einseinseins!! :cursing:
0

#12 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 12. August 2005 - 00:21

Zitat

JA!!!!!!!!!! !!!!!!11111!!!!!einseinseins!!

Kann es sein, daß da ein Leerzeichen hinterm dem "A" fehlt? :cursing:
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#13 Mitglied ist offline   lolzem88 

  • Gruppe: aktive Mitglieder
  • Beiträge: 531
  • Beigetreten: 27. Februar 05
  • Reputation: 2

geschrieben 12. August 2005 - 00:39

xD jo auf jeden fall...
und dass diese kuriose seite da als gut identifiziert wurde hmm lol...
naja das auge kann das aber auch erkennen!
0

#14 Mitglied ist offline   shogun03 

  • Gruppe: Verbannt
  • Beiträge: 894
  • Beigetreten: 26. März 05
  • Reputation: 0

geschrieben 12. August 2005 - 01:11

@Unwissender

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kpnlfzsho...9SWALlJ8ei.html
O2 - BHO: ngsh33.clsIS - {941CA48C-3984-4E7D-AAF8-8755ED76EB50} - c:\windows\system32\ngsh33.dll
O4 - HKCU\..\Run: [ngpw36] C:\windows\system32\ngpw36.exe
O4 - HKCU\..\Run: [adprot] C:\windows\system32\adprot.exe

diese sachen wie schon vorher und im beitrag 7 beschrieben im hijackthis löschen und anschliessend die programmpfade noch überprüfen und gegebenfalls die objekte von hand löschen .
nach dem neustart in den normalmodus dürfte das weg sein .
0

#15 Mitglied ist offline   Wetter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 603
  • Beigetreten: 29. Oktober 02
  • Reputation: 0

geschrieben 12. August 2005 - 09:28

Nehm an besten auch einmal Adarware SE 1.06 (www.lavasoft.de ) um dein Rechner nach anderen Spywareteilen (besonders die ind er Registrie) zu löschen...Spybot allein reicht ja, wie man sieht, nicht aus *g*
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0