FF lädt automaisch Webseiten

  • Hallo Leute,

    da meine Forensuche bisher nichts brauchbares ergeben hat, hier nun meine Frage:

    In unregelmäßigen Abständen lädt der FF neuerdings Webseiten vom Typ:

    http://www.*.com/normal/yyy34.html

    Es handelt sich dabei um verschiedene Werbeinhalte. Wenn FF nicht läuft, wird er durch diese Seiten gestartet. In kurzer Zeit ist eine beträchtliche Anzahl von Tabs( >10) zusammengekommen.
    AdAware u. TuneUp sowie JV16 Powertools finden keine Probleme.
    Auch in der Autostart (Run) steht nichts neues oder unbekanntes.

    Wo könnte das Problem liegen?

    Danke u. Gruß
    Pafnuti

  • Läuft vielleicht irgendein Programm nebenher, welches sich durch Werbung finanziert (zweifelhaftes Filesharing Programm etc)?

    Ansonsten Versuch mal Hitman Pro

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

  • .... also
    HitmanPro incl. aller seiner Unterprogramme (Tools) war leider nicht in der Lage das Problem zu lösen. einige andere Dinge wurden gefunden und bereinigt.
    Ich wüßte auch nicht, daß da im Hintergrung noch irgendwas läuft.
    Habe probeweise alles Zweifelhafte aus den RUN Ordner entfernt.

    Ich vermute, daß es ein verstektes PlugIn im FF ist. (Search-Tool o.ä.)

    Gruß
    Pafnuti

  • Ich gehe trotzdem mal davon aus das es irgendeine Spyware ist. Mir ist keine Erweiterung o.ä. bekannt, die FF startet und dann automatisch Tabs öffnet.

    Poste doch mal einen HijackThis-Log

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

  • Zitat von Pseiko

    Ich gehe trotzdem mal davon aus das es irgendeine Spyware ist. Mir ist keine Erweiterung o.ä. bekannt, die FF startet und dann automatisch Tabs öffnet.

    Poste doch mal einen HijackThis-Log

    Eine Erweiterung könnte das ja auch nicht, ohne laufenden Firefox kann eine Erweiterung ja nix machen und bei Plugins liegt das ähnlich.

  • Zitat von Pafnuti

    Ich vermute, daß es ein verstektes PlugIn im FF ist. (Search-Tool o.ä.)


    Das halte ich für ausgeschlossen, kein Plugin wäre in der Lage den Browser zu starten wenn er nicht läuft, also muß es ein externes Programm sein.

    Zitat von Pafnuti

    Wenn FF nicht läuft, wird er durch diese Seiten gestartet.


    Gruß
    Werner

  • Und um das zu belegen, kansst Du ja mal für einige Zeit einen anderen Browser zum Standardbrowser machen. Ich wette, dass dann dasselbe passiert.

    Alexander

    MS Windows XP Home Edition Version 5.1 (Build 2600.xpsp2_gdr.050301-1519: Service Pack 2
    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
    Erweiterungen, Themes, Plugins

  • Es ist richtig,

    sowohl der FF als auch der IE (je nachdem, welcher der Standartbrowser ist) werden durch wen auch immer automatisch gestartet.
    Gehe ich aktiv ins Web, wird mit jeder von mir aufgerufenen Seite auch eine 2. immer mitgeladen. die Url ist aber jedesmal eine andere.
    ZUM VEREZWEIFELN, auch jetzt lädt FF ständig irgendwas in einen neuen Tab.

    Hier das Ergebnis von HijackThis, vielleicht hilft es

    Logfile of HijackThis v1.99.1
    Scan saved at 14:22:55, on 28.10.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Diskeeper 8\DkService.exe
    C:\Programme\DriveCrypt\DcrServ.exe
    C:\WINDOWS\system32\DVDRAMSV.exe
    C:\WINDOWS\System32\GEARSec.exe
    C:\Programme\Common Framework\FrameworkService.exe
    C:\Programme\McAffee VirusScan\Mcshield.exe
    C:\Programme\McAffee VirusScan\VsTskMgr.exe
    C:\Programme\T-Fax 7960\MPSERVIC.EXE
    C:\Programme\Norton Ghost 9.0\Agent\PQV2iSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Tools\RivaTuner\RivaTuner.exe
    C:\Programme\McAffee VirusScan\SHSTAT.EXE
    C:\Programme\Common Framework\UpdaterUI.exe
    C:\WINDOWS\system32\fxredir.exe
    C:\Programme\Norton Ghost 9.0\Agent\GhostTray.exe
    C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
    C:\Programme\T-Fax 7960\monitr32.exe
    C:\Programme\DriveCrypt\DriveCrypt.exe
    C:\Tools\TuneUp Utilities 2006\MemOptimizer.exe
    C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
    C:\Programme\Logitech\SetPoint\KEM.exe
    C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
    C:\Programme\Nikon\PictureProject\NkbMonitor.exe
    C:\Programme\Nikon\NkView6\NkvMon.exe
    C:\Tools\SnagIt 7\SnagIt32.exe
    C:\Tools\SnagIt 7\TSCHelp.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Papa\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Tools\SnagIt 7\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [RivaTuner] "C:\Tools\RivaTuner\RivaTuner.exe" /T
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAffee VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\system32\fxredir.exe
    O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Tools\RivaTuner\RivaTuner.exe" /S
    O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton Ghost 9.0\Agent\GhostTray.exe
    O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P
    O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
    O4 - HKLM\..\Run: [monitr32] C:\Programme\T-Fax 7960\monitr32.exe
    O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Tools\TuneUp Utilities 2006\MemOptimizer.exe" autostart
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
    O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
    O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
    O4 - Global Startup: SnagIt 7.lnk = C:\Tools\SnagIt 7\SnagIt32.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
    O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\http://EXCEL.EXE/3000
    O8 - Extra context menu item: Open PDF in Word (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0 Professional\PDFConv\IEShellExt.dll /100
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\quicksteuer2005\HaufeReader\HRInstmon.dll
    O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\azamlif1182.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Diskeeper 8\DkService.exe
    O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Programme\DriveCrypt\DcrServ.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\McAffee VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\McAffee VirusScan\VsTskMgr.exe
    O23 - Service: MpService - Canon Inc - C:\Programme\T-Fax 7960\MPSERVIC.EXE
    O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost 9.0\Agent\PQV2iSvc.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Tools\TuneUp Utilities 2006\WinStylerThemeSvc.exe

  • Ok, ich fasse mal zusammen, was mir seltsam vorkommt:

    C:\WINDOWS\System32\GEARSec.exe
    C:\WINDOWS\system32\fxredir.exe
    O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\system32\fxredir.exe
    O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P

    O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\azamlif1182.dll

    Diese Kandidaten würde ich mir als erstes vorknöpfen. Im Explorer Rechtsklick darauf -> Eigenschaften und mal sehen, woher das kommt.

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • GEARSec.exe harmlos:
    http://www.neuber.com/taskmanager/process/gearsec.exe.html

    fxredir.exe gehört zu Canon Software:
    http://www.liutilities.com/products/winta…ibrary/fxredir/

    DCPPaid.exe


    http://www.greatis.com/appdata/u/d/dcppaid.exe.htm

    Zu azamlif1182.dll konnte ich nix finden.

  • Zu DCPPaid:

    Zitat

    Constantly updated. Last update: March 18 2005

    Naja...

    Aber ich habe noch eine Idee :idea:
    Könnte es sein, daß hier der at-Service mißbraucht wird? Dazu einfach mal eine Eingabeaufforderung öffnen und dort einfach den Befehl at eingeben. Normalerweise sollte dann als Antwort kommen: Es sind keine Einträge in der Liste.
    Damit könnten sich Sachen einschleichen, die von HijackThis nicht gefunden werden können, da sie nicht ständig, sondern nur ganz kurzzeitig laufen.

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

  • Hallo,
    auch "at" ergibt keine Einträge.
    Habe jetzt das DCCPaid entfern, ändert auch nichts.
    Die Webseiten, die geladen werden haben alle als Icon links im Tab neben der Adresse ein Schachbrettmuster

    Gruß
    Pafnuti

  • Habe auf einer anderen Seite gelesen, dass es an den dlls liegt wie z.B:

    O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\azamlif1182.dll


    die verändern sich aber bei jedem neustart in einen anderen Namen,
    wie diese z.B.

    O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\irp6l57s1.dll

    O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\mvj2l91o1.dll

    Er schrieb dann folgendes:

    Hatte das ganze nochmal mit "silent runners" überprüft und danach mit killbox vom system gelöscht. jetzt funktioniert alles wieder wie vorher.

    Meine Frage:
    Da ich es nicht verstanden habe, würde ich mich freuen,wenn mir jemand Schritt für Schritt
    erklären kann wie ich es mit den Beiden Programme bereinigen kann und welche Datei ich genau mit Killbox löschen muss und wo ich die Programme downloaden kann.

    MfG
    L.S.

  • ich habe 2 Dateien in diesem Verzeichnis gefunden, die scheinbar aktuell bei jedem Systemstart immer neu entstehen, irgendwie nirgendwohin gehören, sich aber auch nicht löschen lassen:

    kt88l7lu1.dll
    mv2ul9f91.dll

    Es gibt da noch 2 andere:

    pvmas.dll
    dprgui.dll

    die ich auch nicht einordnen kann.
    Könnten sie die Ursache meiines problems sein und wie kann ich die zumindestens in einen anderen Ordner verschieben. Im Moment geht das nicht.

    Gruß
    Pafnuti

  • Hi Pafnuti,

    gib doch mal die Namen der dll's in die Google-Suche ein.
    Die Suche nach mv2ul9f91.dll ergibt z.B. folgende Anleitung zum Entfernen der Datei:

    mv2ul9f91.dll entfernen

    ___________________
    Gruß, gammaburst

  • Danke, ich denke der Tip war "Goldwert"

    ich habe unter "System32" alle DLL gecheckt, die das Datum von heute haben und sich unter "Systemdatei" verstecken.
    Dabei kamen 4 DLL's zum Vorschein, die alle irgendwelche Zahlen im Dateinamen haben. Die habe ich mit Killbox in mehreren Durchläufen entfernt (auch auf das Risiko hin, daß danach vielleicht nichts mehr läuft.

    Nun, der PC startet wie immer, in der "System32" gibt es keine Sytemdateien mehr (bei mir im WindowsCommander mit einem Ausrufezeichen gekennzeichnet) und der FF lädt nur noch das, was er soll.

    Bleibt nur noch die Frage, ob ich dprgui.dll und pvmas.dll für irgendwas brauche. Die habe ich in eiinen Ordner verschoben.

    Ich prüfe aber weiter.

    Gruß
    Pafnuti

  • @ pafnuti

    Auf der Seite http://www.wintotal.de (Startseite, dann links in der Leiste unter "Spyware-Liste" suchen) gibt es eine Möglichkeit, nach Spyware etc. zu suchen, die sich eventuell auch in .exe-Dateien oder in .dll verstecken kann. Die von Dir angeführten Dateien dprgui.dll und pvmas.dll haben dort zwar keinen Eintrag, aber vielleicht probierst Du einfach mal, ob das Fehlen dieser Dateien stört.

    Bezüglich der dprgui.dll ging mir so durch den Kopf, dass der Teil "...gui" von der dprgui.dll eventuell etwas mit einem graphic user interface zu tun haben könnte (habe ich irgendwo mal gelesen, aber ich habe nicht die leiseste Ahnung, was dahinter steckt).

  • Guten Morgen,

    zu den beiden suspekten direkten Verknüpfungsbibliotheken noch gefunden:


    http://forums.techguy.org/history/t-378549.html

    C:\WINDOWS\system32\pvmas.dll -> Spyware.Look2Me : Cleaned with backup

    -----------------------------------------------------------------------------------

    http://www.techsupportforum.com/computer/topic/45855-1.html

    deleting: C:\WINNT\system32\dprgui.dll
    Successfully Deleted: C:\WINNT\system32\dprgui.dll

    ___________________
    Gruß,
    gammaburst