Firefox öffnet unerwünschte Werbeseiten

Internet Internet Sicherheit
#1

Guten Tag,

seit ein paar Wochen erscheinen beim Surfen mit Firefox unerwünschte Werbeseiten in extra Fenstern. Als Symbol zeigt mir das Fenster ein buntes Wirrwarr an, und es steht irgendetwas von Favorit dahinter.
Ich habe als Virenschutz Avira AntiVir an, er findet allerdings keine Viren oder ähnliches. Ich kenne mich kaum mit diesem Zeug aus, schicke anbei aber das Log-file von HijackThis mit. Bitte erklärt mir Idiotensicher, was ich tun muss…
Danke Euch schon mal!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:26:57, on 06.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\hjsuv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\MySecurityCenter\Programs\service.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme[verify-U] AVS[verify-U]-Service.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM…\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir Desktop\avgnt.exe“ /min
O4 - HKLM…\Run: [setc] C:\Programme\MySecurityCenter\Programs\setc.exe
O4 - HKLM…\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM…\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM…\Run: [ISUSPM Startup] „C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe“ -startup
O4 - HKLM…\Run: [ISUSScheduler] „C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe“ -start
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Programme\Java\jre6\bin\jusched.exe“
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [hjsuv] „c:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\hjsuv.exe“ hjsuv
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚Default user‘)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5C…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Con…
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Update Service (gupdate1ca1e791257b276) (gupdate1ca1e791257b276) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MySecurityCenter License Service - Unknown owner - C:\Programme\MySecurityCenter\Programs\service.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Cybit AG - C:\Programme[verify-U] AVS[verify-U]-Service.exe


End of file - 6471 bytes

#2

Hallo.

Auf http://www.hijackthis.de/de kannst du den Hijackthisscan auswerten lassen. Das Problem scheint das

BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL

zu sein. Probier mal das ding im Hijackthis (ich glaube mit einem Rechtsklick darauf…) zu fixen, wie auch die anderen als schädlich angezeigten Elemente…

Installier mal ein anti Spyware-Programm wie Adaware, Windows Defender oder vielleicht die neuste Version von Antivir… falls nicht Vorhanden und mach einen neuen Scan. Vielleicht ist Antivir ja auch so konfiguriert dass es gar nicht nach Adware (Werbezeug) sucht, das könnte man unter allgemein => Erweiterte Gefahren oder so einstellen.

Etwas anderes wäre es mal bei Firefox alle nicht benötigten Addons und Plugins zu deaktivieren, weiss aber nicht obs das bringt…

Gruss Samuel

#3

Hallo

die Log kannst du auf der Seite auswerten lassen, einfach rein kopieren! www.hijackthis.de/

Also nicht gut:

  • R3 - URLSearchHook: (no name) - - (no file)
  • Ask Toolbar (Start > Systemsteuerung > Programme deinstallieren nach ASK suchen und deinstallieren klicken)

Lösung:

  1. Temporäre Dateien beseitigen

Nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren), das säubere der Systemwiederherstellung über „weitere Optionen“ sollte man erst nach der erfolgreichen Bereinigung nutzen!
http://windowshelp.microsoft.com/Windows/de-DE/help/…

Quelle: http://board.protecus.de/t23187.htm#ixzz0bsUIxxZD

  1. mach mal ein Scan mit Spybot-Search & Destroy
    erst updaten dann Scannen.
    http://www.netzwelt.de/download/3465-spybot-search-d…

  2. mache einen Scan mit Malwarebytes -
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Lade es herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> „Quickscan durchfuehren“.

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu

Quelle: http://board.protecus.de/t23187.htm#ixzz0bsTGl5Nq

  1. Ich würde dir noch das Addon Adblock Plus empfehlen.
    https://addons.mozilla.org/de/firefox/addon/1865
    http://adblockplus.org/de/
#4

Guten Tag,

seit ein paar Wochen erscheinen beim Surfen mit Firefox
unerwünschte Werbeseiten in extra Fenstern. Als Symbol zeigt
mir das Fenster ein buntes Wirrwarr an, und es steht
irgendetwas von Favorit dahinter.
Ich habe als Virenschutz Avira AntiVir an, er findet
allerdings keine Viren oder ähnliches. Ich kenne mich kaum mit
diesem Zeug aus, schicke anbei aber das Log-file von
HijackThis mit. Bitte erklärt mir Idiotensicher, was ich tun
muss…
Danke Euch schon mal!!!

das wüste ich im Moment keine Antwort

#5

Hallo Laura,

Ich bin leider kein Experte was die Auswertung von „HijackThis“ betrifft aaaaaaaber jetzt zur idiotensicheren Erklärung :wink:

Ich sehe in der LogDatei folgenden Eintrag:

C:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\hjsuv.exe

Das macht mich doch sehr misstrauisch!
Anwendungen liegen normalerweise überall nur nicht an der gefundenen Stelle.

Könntest Du einmal die Fenster näher beschreiben? Kommen diese immer? Hast Du einen Verdacht auf einen Virus oder Trojaner? Woher könnte ein Trojaner/Virus kommen? Irgendeine Idee?

Ich finde leider zu der Datei reichlich wenig daher sind die Zusatzinfos notwendig. Bitte beachte das nicht jeder Virenscanner auch jeden Befall meldet.

Du kannst einmal einen Virenscan von einem anderen Anbieter online ausführen:
http://security.symantec.com/sscv6/default.asp?produ…
Der sollte kostenlos und gut sein läuft aber nur mit Internetexplorer 5 oder höher.

Viele Grüße

Jörg

#6

Hallo,

ich bin Linux-User und habe solche Probleme nicht. Mir haben früher immer folgende Spybot, AntiVir geholfen.
Viel Spaß beim M$-basteln.
VG
Ian