Browser HiJacking ?!
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
agent
anwendung
client
computer
document
erweiterung
explorer
extension
fenster
format
listen
medien
not
point
program
reader
setting
sicherheitsbedrohung
software
window
-
Hey Leute :-)
Ich habe seit einiger Zeit das Problem, dass willk?rlich zwischendurch Browserfenster ge?ffnet werden, die Seiten wie diese
http://www.loadingwebsite.com/normal/yyy23.html
http://j.2004cms.com/HTM/406/1/JavaSiteRequest.asp?LV=6000&DC=619&NF=0&IW=720&IH=300&ORD=1114287103093
http://www.nuker.com/ads/promo_04/?a=adm0000&mch=swnuker06&pg=23
http://www.jamba.de/dew/go/cwp/?ref=176025&affmt=text&affmn=41
laden. Das ist nat?rlich irgendwelcher Werbekram, etc. Nun, mein weiteres Problem ist, Ich habe HiJackThis, Ad-aware, Spybot Search & Destroy sowie mein Antiviren-Programm (Bit Defender 8 Standard) komplette Systemscans machen lassen und alles beseitigt was irgendwie gefunden wurde. Nur leider h?rt das nicht auf. Ebenfalls ist es kein im Browser geladenes Add-On, noch eine Active-X Komponente.
Hat irgendjemand eine Idee, was Ich noch machen k?nnte, oder hatte evtl. jemand mal das selbe Problem?!
Danke schonmal f?r die Antworten :-)
MfG
Nils -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Liegt das an den Seiten auf denne du gehst? Also bei meinen Mozilla forefox werden alle Pop ups geblockt ausser die wo ich es will. Daher habe ich das problem net. ?ffnen die sich nur beim laden der webseite oder auch nach ner weile wenn die Hp schon lange ausgeladen ist?
-
Die Dinger ?ffnen sich einfach zwischendurch. Teilweise sogar wenn gar kein Browser-Fenster offen ist. Und an den Seiten die Ich besuche kann es eigentlich nicht liegen. Ich hab nur 5 Seiten auf denen Ich standardm??ig bin.
http://www.dbna.net
http://www.gayromeo.com
http://www.lima-city.de
http://gmail.google.com
http://www.gmx.net
Und das sind alles vertrauensw?rdige Sites die solche sinnlosen Sachen nicht veursachen w?rden. Und, um das nochmal zu verdeutlichen, die Fenster ?ffnen sich auch wenn Ich nur Lima anhabe, ebenso wie wenn kein Browser offen ist. -
Hijacks starten entweder nach Zufall oder wenn ne falsche URL angibst. Gegen einige Hijacks kannst nix machen die sind so clever und reproduzieren sich neu... ich hab aber auch keine Idee was man ansonsten dagegen machen kann au?er format c: ;)
-
Okay, wir machen eine winzige Formulierungs?nderung:
"Hat irgendjemand eine Idee, was Ich noch machen k?nnte, oder hatte evtl. jemand mal das selbe Problem?!"
--->
"Hat irgendjemand eine Idee, was Ich noch machen k?nnte ohne Laufwerk C:\ zu formatieren oder mich der Tatsache hinzugeben das Ich den HiJack nicht besiegen kann, oder hatte evtl. jemand mal das selbe Problem?!"
-
Du k?nntest andere Browser ausprobieren, wenn nichts hilft dann musst du wohl auf alte Browserversionen zur?ckgreifen und hoffen, dass die HiJacks damit nicht kompatibel sind.
-
Das is mal garnet so unwahr IE is sehr anf?llig f?r Hijacks Firefox usw. sind es net so. Das k?nnt ne L?sung sein.
-
Das w?re ne Idee, aber dann muss Ich wohl oder ?bel auf Mozilla Firefox oder Opera zur?ckgreifen. Den seltend?mlichen Internet Explorer werd Ich nicht wieder benutzen. Im Moment benutze Ich den Maxthon Browser. Der war genauso wie Ich es wollte vom Komfort her, aber nein, d?mliche HiJacks. Naja, ma Firefox rauskramen gehen
-
Bei http://www.sysinternals.com/ das Tool Autoruns.exe herunterladen. Dieses zeigt die meisten Autostart-Programme und auch die MSFT Exploiter-Erweiterungen an, kann sie vor?bergehend deaktivieren und auch l?schen.
MfG
alopex -
Wenn man das quietschende alopex nicht h?tte... Ich probiers gleich mal und meld mich dann mal dazu.
*alopex imitier*
*EDIT*
So getestet. Das Tool ist echt stark, aber es hat leider nichts gebracht. Ich hab es alles auflisten lassen was nur geht. Es werden aber komplett nur Dinge angezeigt, die Ich auch so autorisiere. Sprich: Es ist nur drin, was auch tats?chlich drin sein soll. Noch ne Idee alopex? -
Hast du auch im "View"-Men? alles aktiviert, was zu aktiviern geht? Wenn ja, dann wei? ich auch nicht weiter. Du k?nntes h?chstens noch die Liste der Autostart-Eintr?ge abspeichern und mal hier posten. Vielleicht sehe ich ja was, was du nicht siehst. *mich_selbst_imitier*
MfG
alopex -
Hab Ich, Ich poste dir mal die gesamte Liste hierher. Vier Augen sehen ja doch mehr als zwei. Ich warne dich vorher, das ganze is aus diesem Logfile relativ un?bersichtlich *gg* In der Liste sieht mans besser.
*EDIT*
Die vorherige Liste hab Ich mal wegen ihrer unchristlichen L?nge entfernt. Das stapaziert die Threadl?nge ja doch sehr. -
Also wie gesagt die Dinger sind recht geschickt, da sie sich in unscheinbaren Dateien verstecken, die solche Programme wie Adaware halt net st?ren daraus entstehen dann immer wieder neue die auch sofort die Registry ver?ndern. Nach nem Neustart hat son Hijack sich alles wieder zur?ckgestellt wie ers brauch. Ich hab auch schon jedes mir bekante Prog dazu genutzt die los zu werden aber es endete dann doch so das ich A) nen anderen Browser benutzte oder B) mein Lieblingsbefehl eingetippt habe format c: C) per Hand die suchte, dass klappt aber net immer. Man muss sich da ne Anwendung suchen die verd?chtig aussehen z.B.: dllhelp.exe solch eine Anwendung hat im Windowsordner nix zu suchen wenn man dann auch mit Notepad oder was weis ich die ?ffnet is ne Signatur von UPX drin. Kein gescheiter Softwarehersteller w?rde seine Anwendung mit UPX packen. Drum wech damit! Das duert zwar alles zu durchsuchen aber lohnt sich. Wenn es aber irgendwo nen Prog gibt was das Hijackproblem wirklicht l?sen kann w?rde ich auch gerne wissen welches das sein kann.
-
@funkdoobiest
*zustimm*
@epochenkampf
Arrrrgh! Wer soll das durchforsten? Und das um diese unchristliche Uhrzeit! Kannst du das nochmal mit aktiviertem "Hide Signed Microsoft Entries" machen? Dann wird die Liste kleiner.
Hier mal meine Liste:
HKLM\System\CurrentControlSet\Services
+ PersFw Kerio Personal Firewall Engine (Not verified) Kerio Technologies d:\work\web\+safety\keriofwall\persfw.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ atwtusb Tablet HID (Not verified) Aiptek c:\winxp\system32\atwtusb.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ SpeedswitchXP A CPU frequency applet for Windows XP (Not verified) Christian Diefer d:\work\system\+cpu\speedswitch\speedswitchxp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ AcroIEHlprObj Class Adobe Acrobat IE Helper Version 6.0 for ActivieX Adobe Systems, Incorporated d:\work\txt\acroreader\reader\activex\acroiehelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ CPL-Erweiterung f?r Anzeigeverschiebung File not found: deskpan.dll
Jetzt wei? ich wenigstens, dass ich doch anders bin als die Anderen ...
Aber ich habe solche b?sartigen Sachen auch noch nie auf meinem Notebook gehabt. Mal sehen, ob mir doch noch was auff?llt.
MfG
alopex -
Okay, hier komm die ?berarbeitete Version mit dem "Hide..". Ist zwar wesentlich weniger, aber immernoch ne Menge !
HKLM\System\CurrentControlSet\Services
+ bdss Pr?ft Medien vor Viren und anderen Sicherheitsbedrohungen c:\program files\common files\softwin\bitdefender scan server\bdss.exe
+ StyleXPService StyleXPService Module c:\program files\tgtsoft\stylexp\stylexpservice.exe
+ vsmon Monitors internet traffic and generates alerts for disallowed access. Check Point Software Technologies Inc. c:\windows\system32\zonelabs\vsmon.exe
+ VSSERV Pr?ft Medien vor Viren und anderen Sicherheitsbedrohungen c:\program files\softwin\bitdefender8\vsserv.exe
+ XCOMM Sichert die Kommunikation zwischen den BitDefender Modulen (Not verified) Softwin c:\program files\common files\softwin\bitdefender communicator\xcommsvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ Telephony c:\windows\system32\irpul5791.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
+ sockspy.dll c:\windows\system32\sockspy.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ 00saskda e:\program files\1st security agent\newadmin.exe
+ BDMCon BitDefender Management Console (Not verified) SOFTWIN S.R.L. c:\program files\softwin\bitdefender8\bdmcon.exe
+ BDNewsAgent c:\program files\softwin\bitdefender8\bdnagent.exe
+ iTunesHelper iTunesHelper Module (Not verified) Apple Computer, Inc. e:\program files\itunes\ituneshelper.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ QuickTime Task (Not verified) Apple Computer, Inc. c:\program files\quicktime\qttask.exe
+ SunJavaUpdateSched c:\program files\java\j2re1.4.2_06\bin\jusched.exe
+ zBrowser Launcher iTouch Application (Not verified) Logitech Inc. e:\program files\logitech\itouch\itouch.exe
+ Zone Labs Client Zone Labs Client Check Point Software Technologies Inc. c:\program files\zone labs\zonealarm\zlclient.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
+ Adobe Reader - Schnellstart.lnk Adobe Acrobat SpeedLauncher (Not verified) Adobe Systems Incorporated e:\program files\adobe\acrobat 7.0\reader\reader_sl.exe
+ hpoddt01.exe.lnk hpotdd01 (Not verified) Hewlett-Packard e:\program files\hewlett-packard\digital imaging\bin\hpotdd01.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ RDBirthdayReminder RD birthday reminder (Not verified) cweiske.de e:\program files\rd birthday reminder\birthday.exe
+ RoboForm RoboForm TaskBar Icon (Not verified) Siber Systems c:\program files\siber systems\ai roboform\robotaskbaricon.exe
+ STYLEXP StyleXP Application c:\program files\tgtsoft\stylexp\stylexp.exe
+ Uptime-Project c:\documents and settings\die h?rnchen\my documents\uptime client\client.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ BitDefender Antivirus v8 BitDefender Shell Extension (Not verified) SOFTWIN S.R.L. c:\program files\softwin\bitdefender8\bdshelxt.dll
+ dBpowerAMP Music Converter dMCShell Module e:\program files\illustrate\dbpoweramp\dmcshell.dll
+ dBpowerAMP Music Converter 1 dBShell Module e:\program files\illustrate\dbpoweramp\dbshell.dll
+ Display Panning CPL Extension File not found: deskpan.dll
+ Fusion Cache Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ igetppui.dll c:\windows\system32\igetppui.dll
+ iTunes iTunes Mini Player DLL (Not verified) Apple Computer, Inc. e:\program files\itunes\itunesminiplayer.dll
+ ovenquicktimelib.dll c:\windows\system32\ovenquicktimelib.dll
+ SmartFTP Shell Extension DLL SmartFTP Shell Extension (Not verified) SmartFTP c:\program files\smartftp\smarthook.dll
+ VDMSound LaunchPad File not found: C:\Documents and Settings\Die H?rnchen\My Documents\VDMSLaunchPad.v1.0.1.1\LaunchPad.dll
+ Webordner Microsoft Web Folders (Not verified) Microsoft Corporation c:\program files\common files\microsoft shared\web folders\msonsext.dll
+ WinRAR shell extension e:\program files\winrar\rarext.dll
HKLM\Software\Microsoft\Internet Explorer\Toolbar
+ googletoolbar1.dll Google IE Client Toolbar (Not verified) Google Inc. c:\program files\google\googletoolbar1.dll
+ roboform.dll RoboForm Main Module (Not verified) Siber Systems c:\program files\siber systems\ai roboform\roboform.dll
-
Was mir merkw?rdig vorkommt:
+ igetppui.dll c:\windows\system32\igetppui.dll
+ 00saskda e:\program files\1st security agent\newadmin.exe
Vielleicht solltest du auch mal statt Zone-Alarm eine andere Firewall installieren, die ein Verbindungsprotokoll f?hrt, oder noch besser, live die Verbindungen anzeigt. Dann sieht man meist schnell, wenn eine merkw?rdige EXE-Datei mit dem Internet Verbindung aufnehmen will.
Aber jetzt muss ich erst mal in die Heia ... -
Hui, da blick mal einer durch...
du musst jetzt halt selber wissen welche Programme du brauchst und welche nicht.
Bsp:
+ RDBirthdayReminder RD birthday reminder (Not verified) cweiske.de e:\program files\rd birthday reminder\birthday.exe
Wenn du den BirthdayReminder nicht (mehr) brauchst, dann l?sche die datei e:\program files\rd birthday reminder\birthday.exe und schon hast du eine M?glichkeit weniger.
Guck halt mal nach Programmnamen die dir ?berhaupt nichts sagen, diese haben sich dann wohl von selbst ohne dein Wissen installiert.
Viel Gl?ck
xxxyy -
Also, ZonelAlarm weist mich auf jede .exe und auch jede sonstiges Datei hin die auf das Internet zugreifen will.
Zu denen Programmen die ihr aufgez?hlt habt:
+ igetppui.dll c:\windows\system32\igetppui.dll
+ 00saskda e:\program files\1st security agent\newadmin.exe
Das erste kenn Ich selbst nicht, war mir auch aufgefallen, aber habs erstma au?en vor gelassen. Ich werd mal Nachschauen.
Das andere ist tats?chlich ein Programm von mir das 1st Security Agent heisst. Dient dazu lokale Sicherheitsrichtlinien, etc., zu setzen und Krams mit Passw?rtern zu versehen.
+ RDBirthdayReminder RD birthday reminder (Not verified) cweiske.de e:\program files\rd birthday reminder\birthday.exe
Das ist mein Geburtstagserinnerungsprogramm, wieso sollte Ich das loswerden wollen? Das Programm war Jahre vor dem HiJack auf meinem PC, Ich sehe keinen einzigen Grund der mich veranlassen w?rde das Programm zu deinstallieren. -
also guter rat!
installier dir das n?chste mal firefox und lad dir gleich f?r den firefox das update "adblock" herunter!
der filtert total viele ads!
so ersparst du dir das bereinigen!
und leg dir tune UP 2004 zu, is viel besser als alle reinigungsprogramme, und schneller gehn tut der PC danach auch! -
du k?nntest es mal mit knoppicillin probieren.
http://www.heise.de/ct/03/09/210/
hat bei mir immer ganz gut geklappt!
wenn du fragen dazu hast kannst mir auch eine pn schicken.
mfg
blindripper -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage