27. September 200421 j Hi leute, ist mir noch nie passiert, aber das kommt davon wenn man sowas wie Internet Explorer benutzt. Ich habe folgendes Problem: Wenn ich mich in der URL vertippe, also zum beispiel www.microarsoft.de, werde ich auf eine tolle seite weitergeleitet: Screenshot Greift nur beim IE, firefox hat keine Probleme. Muss also irgendwass in der Registry sein. Adaware und Stinger habe ich noch nicht drüberlaufen lassen, abe kennt das schon einer, oder kann man die registry händisch cleanen? danke gruß pfc
27. September 200421 j Ich kenne das nicht, aber mit CWShredder sollte dir geholfen sein -> klicken <-
27. September 200421 j Servus, was CWShredder nicht findet, findet HijackThis: Download-Link bei chip.de. Bitte mit Vorsicht genießen und sich die gefundenen Schlüssel vorm Löschen ansehen, sonst sind bspw. Google- oder sonstige Toolbars auch weg. Gruß, pepper
28. September 200421 j Danke für die Links, hiJackThis kannte ich von Namen, hatte es bisher nur zum Glück nur noch nie gebraucht Dieser Eintrag hier hat das Problem bei mir gelöst: O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Aber mit Hijackthis muss man schon etwas vorsichtig sein, hatte mir nämlich zuerst die DNS Auflösung zerballert, hrhr. regrds, pfc
28. September 200421 j kommando zurück, die nwiz.exe ist von meiner Nvidia Grafikkarte, lol Dann muss es doch der Eintrag hier gewesen sein: O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing Dazu war ein Neustart des Rechners notwendig, jetzt ist alles wieder wie vorher. thx
28. September 200421 j hi leute, nach nem reboot taucht das problem wieder auf. Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann: Logfile of HijackThis v1.97.7 Scan saved at 21:30:04, on 28.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen. Danke schon mal vorab leute, pfc
29. September 200421 j Ich poste mal das HiJackThis Log, abzüglich der Einträge die ich sicher ausschließen kann: Logfile of HijackThis v1.97.7 Scan saved at 21:30:04, on 28.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Du solltest auf jeden Fall deinen IE upgraden. Aktuell ist momentan v6.0.2800.1106 (IE6SP1), und dazu diverse Patches (Windows Update). O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx Eine Radio-Toolbar? Wenn du sowas nicht bewusst installiert hast, ists auf jeden Fall verdächtig! O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup Das dürfte vermutlich zum NVidia-Treiber gehören. Schau mal auf den Reiter "Version" in den Eigenschaften der dll-Datei. O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe suche die beiden Dateien im Windows32-Verzeichnis und sieh dir die Versionsangaben in den Dateieigenschaften an. Wenn es keinen Reiter "Version" gibt, oder nicht Microsoft drinsteht, ists verdächtig. O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB Scheint von MS zu kommen. Leider gibt sich MS da sehr verschlossen, was es sein könnte. O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Das dürfte das Flash-Plugin sein. Ich habe jetzt nicht großartig nach den Dateien gegoogelt, aber vielleicht kann mir jemand das eine oder andere auschließen, die Neuinstallation werde ich ohnehin durchführen. Je nach Art und Grad des AdWare-Befalls würde ich dir sowieso zu einer Neuinstallation raten; solche "nette" Software gräbt sich immer tiefer ins System ein und lädt immer wieder weitere Bestandteile nach, öffnet dazu diverse Backdoors, installiert modifizierte Systemdateien, ....
29. September 200421 j Hallo, wie ich in meinem ersten Threat fälschlicherweise angenommen habe, (Link ) und dachte ich es handele sich bei der Weiterleitung auf diese seite hier: ScreenShot um ein spyware / adware tool, habe ich folgendes rausbekommen: http://bnd-shop.de/ ist zB. auch über folgende URL zu erreichen: http://dummy.de.org/index.htm und über www.microsoft.de.org oder über www.heise.de.org. Quasi, über alle (?) seiten, die über xxxxxx.de.org etc. angesprochen werden Nur macht das der Internet Explorer automatsch. Wen man sich in der URL vertippt, dann versucht der Internet Explorer die nächs möglich Toplevel Domain zu finden und ersetzt die URL automatisch. Nur das habe sich die Herren von bnd-shop zu nutze gemacht, und haben ein redirect von http://dummy.de.org/index.htm auf ihre eigene URL gemacht, denn diese existiert nämlich tatsächlich und ist die nächst logische, jedenfalls für den Internet Explorer. Ich gehe also davon aus, das sich diese Beobachtungen in kürze häufen werden, jedenfalls kann ich meines wissens nach diese Behauptung aufstellen - probiert es selbst mal mit einer x-beliebigen domain aus. xxx.de.org Comments welcome. pfc
19. Oktober 200421 j Mahlzeit, bin über google bei euch gelandet, weil mich diese Seite schon einige Zeit nervt. Ich sah leider nun keine andere Möglichkeit, als sowohl dummy.de.org als auch bnd-shop.de in meine hosts Datei zu schreiben. Dann öffnet sich zumindest nicht mehr der Shop.
19. Oktober 200421 j ist spyware eigentlich erlaubt? oder ist das ein einbruch ins system??? wenn's ein einbruch ist: bnd.shop verklagen?!?! bigredeyes p.s. ich weiß, is ne doofe antwort, aber ich krieg bei spyware auch immer's *****n!
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.