leinad-w 23.06.2008 17:08

Werbe-Popups im iexplorer 7
Guten Tag,

habe Windows XP mit SP3 (Finalversion) und Iexplorer 7. Ich bekomme während des Surfens alle paar Minuten ein Popup in einem neuen Browserfenster (dann ohne Symbolleisten) mit Werbung bzw. einer anderen Website (thematisch teilweise an meiner aktuellen Aktivität orientiert, z.B. Immobilienseiten während ich nach Wohnungen suche). Vielleicht kann mir jemand weiter helfen. Gruß, leinad-w

Hier meine Logdatei:

undoreal 23.06.2008 17:25

Hallo leinad-w und
Da dein HJT log sauber ist sollten wir etwas tiefer graben:

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Run Combofix. Poste den erscheinenden Text.

5) Folge dieser Anleitung. (Suchen und Bereinigen lassen!)

6) Überprüfe dein System mit SASW.

7) Mache einen letzten Maleware-Check mit Malewarebytes.

8) Checke dein System mit dem ESET Online Scanner. (Klicke nach dem Scan auf "Print this Page" oben rechts in der Ecke und kopiere das nachfolgende Fenster in deinen Post.)

9) Räume mit cCleaner auf. (Punkt 1 und 2)

10) Lasse Silentrunners laufen und poste das logFile

11) Führe einen escan durch und poste das mit Hilfe der find.bat ausgewertete log.

12) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

leinad-w 23.06.2008 18:45

Hallo undoreal,

vielen Dank für die schnelle Antwort. Bin grade bei Schritt drei, weiß allerdings nicht, wie ich bei blacklight eine Logdatei erstelle um diese zu posten. Es wurden vier hidden items gefunden:


Ich kenne diese Dateien nicht. Soll ich sie umbenennen?

Ansonsten fahr ich mal bei Schritt vier fort.

Gruß, leinad-w

leinad-w 23.06.2008 19:03


hab die Logdatei eben doch entdeckt (s.u.) Hab inzwischen Combofix laufen lassen, am Ende hieß es, es werde eine Logdatei vorbereitet, Programm hat dann geendet, hab keine Datei gefunden (?).

undoreal 23.06.2008 19:11

O.k. erstmal nicht weiter!

Lasse die Dateien umbenennen!


OPTION 1: #Analyse#

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

PS: Das CF log findest du unter: C:\ComboFix.txt

PPS: Bei dem Blacklight log hast du die linke Seite abgeschnibbelt oder?

Da müsste aber sowas stehen:


leinad-w 23.06.2008 19:24

Hallo undoreal,

sorry, war wohl zu schnell! Hab Punkt 5 durchgeführt (Smitfraudfix, logfile s.u.), blacklight findet jetzt keine hidden items mehr. Ich hoffe, ich hab jetzt nicht alles versaut? Ich mach jetzt erst mal nichts mehr, wenn ich keine Anweisungen von Dir kriege ;-) leinad-w

P.S.: Ein combofix-log finde ich keines auf c:\ (?).
P.P.S.: Ja, bei dem blacklight-log fehlte was, die Dateien heißen wie angegeben.

undoreal 23.06.2008 19:35

Hat Blacklight bzw. Du die Dateien nach dem ersten Durchlauf umbenannt?

Unter C:\dokumente und einstellungen\XXX\lokale einstellungen\anwendungsdaten\ sollten sich die umbenannten Dateien finden lassen.

Suche bitte wie in meiner Signatur beschrieben wird nach combofix. Dann sollte sich das log eigentlich finden lassen.

Un führe Navipromo aus.

leinad-w 23.06.2008 19:51

Hallo undoreal,

nein, habe die Dateien nicht umbenannt bzw. umbenennen lassen. Finde daher auch keine. Die Logdatei von Combofix hab ich jetzt aber, s.u.

Ist Navipromo dasselbe wie unten vorgeschlagen (navilog1)? Der Link funktioniert nicht ...

Entschuldige die Beanspruchung.

Gruß, leinad-w

undoreal 23.06.2008 20:01

Hab' ich mir schon fast gedacht. CF hat die Dateien gelöscht. Auch gut.

Sry. für den inakzeptablen Link:

leinad-w 23.06.2008 20:14

Hallo nochmals,

unten die Logdatei von Navilog. Hab übrigens die letzte Stunde keine Popups mehr gekriegt ... :-) Gruß, leinad-w

undoreal 23.06.2008 20:43

Das sieht doch schonmal ganz gut aus.

Da bei dir ein Rootkit lief solltest du nun bitte die restlichen Punkte 6)-12) abarbeiten.

leinad-w 24.06.2008 18:44

Hallo, bin jetzt dabei, die Punkte 6 - 12 abzuarbeiten.

SASW: Befund negativ

Malwarebytes ergab eine infizierte Datei, Logdatei s. hier:

Ich fahre jetzt bei Punkt 8 fort.

Gruß, leinad-w

leinad-w 24.06.2008 20:18

Hallo undoreal,

Eset war negativ, cCleaner durchgeführt, unten die Logdatei von Silentrunners.

Ich hab bei mir auf c:\ einige Ordner entdeckt (found.000 bis found.006), großteils unbekannter Inhalt, teilweise aber mit Dateien, die aus dem Ordner "Eigene Dateien" stammen. Kann das vom großen Reinemachen kommen?

Ich mach jetzt bei den Punkten weiter.

Gruß, leinad-w

undoreal 24.06.2008 21:15

Das sieht ja soweit alles schon ganz gut aus.

Die found... Ordner werden von scandisk erstellt. Sollten also nicht von unserer Bereinigung stammen. Wenn du die Dateien dort drinn nicht mehr brauchst kannst du sie problemlos löschen.

leinad-w 25.06.2008 14:48

Hallo undoreal und andere,

hab jetzt doch ein Problem: Schreibe von einem anderen PC, denn mein Windows fährt nicht mehr hoch. Es fehlten Systemdateien bzw. diese waren beschädigt. Hab versucht, XP über die Original-CD zu reparieren - schien auch erst zu klappen, jetzt verlangt er allerdings nach einer Datei ("asms") von der Service Pack 2-CD, die ich natürlich nicht hab, und hängt sich gleichzeitig auf (bzw. Maus und Tastatur sind nicht zu benutzen).

Wenn keiner einen Tip hat, wie ich das Problem löse, muss ich ja wohl Windows neu installieren. Frage: Gehen dabei die installierten Programme und meine Eigenen Dateien verloren? Hab zwar ein backup der wichtigsten Sachen, hab aber eigentlich keine Lust, alles neu zu installieren.

Gruß, leinad-w

