Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

Unerwünschte Seiten blockieren





Frage

Hallo liebe Forenteilnehmer, ich habe heute den alten Computer einer Kollegin übernommen. Wenn ich nun ins Internet gehe und eine Seite öffnen will, öffnet sich automatisch eine weitere unerwünschte Seite, z.B. friendscout, der Beate Uhse Shop, Quelle, neu.de, celldorado, elcuban usw. Ich habe schon verschieden Virenscanner laufen lassen, habe ZoneAlarm installiert, dennoch öffnen sich diese Seiten. Hat jemand einen Tipp für mich, wie ich das Öffnen dieser Seiten verhindern kann? Vielen lieben Dank, Nina

Antwort 1 von Juergen26

Hi Nina,
handelt es sich um einen Firmenrechner weil du schreibst "von einer Kollegin übernommen"?
Wenna ja -> Admin informieren, es ist nicht dein Job am Rechner rumzubasteln!
Du postest im Viren-Forum: Hast du einen konkreten Verdacht, wenn ja warum?
Verschiedene Virenscanner haben auch nix zu suchen auf einem Rechner, die kommen sich höchstens in die Quere.
Von ZA halte ich persönlich gar nix aber das ist wohl Glaubenssache.
Wenns ein Privatrechner ist empfehle ich mal den Firefox zu installieren mit den Erweiterungen AddBlock Plus und NoScript.
Mal gucken was passiert.
Gruß Jürgen ;o)

Antwort 2 von saDam

Da siehste mal wo deine Kollegin überall unterwegs war.
Zitat:
der Beate Uhse Shop


Antwort 3 von Nina-79

Hallo Jürgen,

danke für Deine Antwort! Ich bin an der Uni, da ist das nicht alles so geregelt wie in einer Firma, ich würde gerne erst mal versuchen, es alleine hinzubekommen...
Ich weiß nicht, ob der PC vielleicht einen Virus oder Trojaner etc. hat, war bloß meine Idee, weil ja ein Programm ständig diese Werbeseiten öffnet.
Den AddBlock Plus habe ich und ich habe auch schon ein paar Adressen zum Filter hinzugefügt, allerdings löst das ja nicht das Grundproblem, dass irgendeine Anwendung versucht, Seiten zu öffen.
Kannst Du mir eine bessere kostenfreie Firewall als ZoneAlarm empfehlen?

Liebe Grüße,
Nina

Antwort 4 von tomsan

Mit was hast Du den Rechner gescannt?

Würe auf jeden Fall noch Malwarescanner suchen lassen. "Adaware" und "Spybot S&D" würde ich bei suchen lassen.

Finden Sachen, die die meisten Virenscanner nicht suchen.

Antwort 5 von Juergen26

Hi Nina,
mach doch mal so ein Logfile und poste es hier.
Mit ein bisschen Glück wissen wir dann mehr.
Gruß Jürgen ;o)

Antwort 6 von Nina-79

Hallo Tom,

der Spybot hat nichts gefunden, Adaware lade ich gleich mal runter...
Jürgen, die Logfile poste ich dann am Montag, muss hier bald los...
Wünsche Euch ein schönes Wochenende!

LG
Nina :)

Antwort 7 von Nina-79

Hallo Jürgen,

hier ist die highjackthis-Logfile...
Siehst Du darin etwas verdächtiges?

Viele liebe Grüße,
Nina

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:56, on 03.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\dokumente und einstellungen\julia metzner\lokale einstellungen\anwendungsdaten\mgeci.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Citrix\PNAgent\pnagent.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Julia Metzner\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ncbi.nlm.nih.gov/sites/entrez?db=PubMed
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.exe /silent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Dokumente und Einstellungen\Julia Metzner\Desktop\JuMe_02\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [mgeci] "c:\dokumente und einstellungen\julia metzner\lokale einstellungen\anwendungsdaten\mgeci.exe" mgeci
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Program Neighborhood Agent.lnk = C:\Programme\Citrix\PNAgent\pnagent.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093965103168
O17 - HKLM\System\CCS\Services\Tcpip\..\{47FC4F9D-EF7C-4183-8228-9FBCB6C91415}: NameServer = 141.2.149.10,141.2.22.74,141.2.165.42
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5889 bytes

Antwort 8 von Galahad

Hi,
auf den ersten Blick ist nichts schädliches zu entdecken.
Adobe Reader auf Version 9 Updaten.
Und Internet Explorer auf Version 7 (oder Firefox)

Schlage vor Spybot mal im abgesicherten Modus
scannen zu lassen (vorher updaten)
Dann Immunisieren Button anklicken.

MfG

Antwort 9 von Juergen26

Hi Nina,
so bin spät dran ich weiß ;o)
Also auf die Schnelle hab ich in dem Logfile auch nichts entdecken können.
Außer vielleicht dieser:
C:\dokumente und einstellungen\julia metzner\lokale einstellungen\anwendungsdaten\mgeci.exe
Diese mgeci.exe sagt mir nix.
So mal konkret:
Welche Seiten öffnest du und welche Fenster gehen auf?
Installiere in Firefox mal zusätzlich zu Adblock die Erweiterung noscript und schau wass dann passiert.
Lösche auch mal bei beiden Browasern den Cache.
Zu Zonealarm:
Da es für den Normaluser ohne besondere Netzwerkkenntnisse unmöglich ist solche Firewalls vernünftig zu konfigurieren machen die einfach keinen Sinn. Oder weißt du genau was du anklickt wenn eine Meldung kommt "Programm XY verlangt eine ausgehende Verbindung - wollen Sie das erlauben?"
Beim löschen der Browaser-Caches könnte dir das Programm
ccleaner gute Dienste bieten.
Schaumer mal dann kriegen wir das schon hin!
Jürgen

Antwort 10 von Nina-79

Hallo Jürgen, sorry dass ich mich erst jetzt wieder melde, hatte total viel zu tun die Woche...

Den ZoneAlarm verwende ich halt so, dass ich Programme, die ich nicht kenne erst mal nicht zulasse und wenn dann alles noch funktioniert, setze ich ein Häkchen, damit das Programm immer blockiert wird. Das mgeci.exe finde ich auch verdächtig, ich habe aber über ZoneAlarm den Zugriff aufs Internet verweigert und dennoch gehen die Werbeseiten noch auf.

Wo finde ich denn noscript...? Unter Extras ist bei mir nur das Adblock Plus...

Viele liebe Grüße,
Nina

Antwort 11 von hans889

Hi Nina,

noScript findest du hier.

Oder im Firefox unter Extras -> AddOns -> Alle empfohlenen AddOns ansehen, da steht es in der Liste.

Gruß
Hans

Antwort 12 von Juergen26

Hi Nina,
du kannst die Datei mal hier hochladen und prüfen lassen.
NoScript findest du da.
Auch LG
Jürgen ;o)

Antwort 13 von Nina-79

Hallo,

ich habe alles so gemacht wie ihr es mir empfohlen habt - und tatsächlich gehen momentan keine Werbeseiten mehr auf!

Vielen lieben Dank für eure Tipps und eure Hilfe!

Liebe Grüße,
Nina :-D